8月17日起,有众多Discuz!站长反映自己的论坛被入侵,在接下来几天时间内,包括Discuz!官网在内大量使用Discuz!构建的论坛均遭到挂马。
8月18日,在Discuz官方社区有一位会员发布紧急公告,称请Discuz用户检查网站中是否包含了可供挂马的Webshell,如论坛空间莫名多出usergroup_0.php等文件即为中马,并称Discuz!官方论坛也未能幸免被挂马。
8月18日, Discuz!官方确认漏洞,并发布相关的安全补丁。在官方贴中表示,“Discuz!后台自定义风格功能模块由于用户提交数据的合法性判断不足,造成管理员可以构造特殊数据生成缓存文件。当管理员账号泄露或者被窃时,将直接威胁论坛的安全使用”,该漏洞可威胁到任何版本的discuz!程序的站长。
据了解,该漏洞早在5月初,即在一些技术人员之间,通过论坛或者博客开始讨论并且散发,在国内多家安全论坛,出现了大量“discuz 0day漏洞”字样的帖子。关于这个漏洞的描述为,在所有版本discuz!程序的admin/style.inc.php中,存在一个模板自定义变量正则过滤不严的漏洞,导致可以构造非法的数据写入数据库,进而在更新缓存后非法数据写入style_n.php中,通过这个漏洞可以构造一个webshell 留在服务器中,它可以向所有可写目录中写入文件,修改一切可写的文件(比如向模板文件中写入挂马代码),执行数据库操作,上传木马的服务器上等,只要想得到的基本上都能够做到,除非手动在后台或数据库中删除这些记录,否则留下的后门都是无法删除的。
0day漏洞发布没有立刻引起严重后果,但经过数月的传播,终于引发了大规模的事件。此外,可能还有一些的discuz!漏洞在喜欢破解和网络安全的技术人员之间小范围讨论和传播,犹如一颗不定时的炸弹对站长们形成威胁。