Discuz4.1.0 WAP发表文章跨站漏洞预警_安全中国

信息来源：http://www.cnbct.org

漏洞程序:Discuz

出现漏洞的最高版本:4.1.0

漏洞类型:XSS/CSS 跨站漏洞

官方网站:www.discuz.net

漏洞预警详述:

2006-5-3日凌晨，某著名站长论坛爆出Discuz4.1.0论坛程序出现跨站漏洞，目前官方正在修补的消息，官方随即发布了补丁，但是在此之间，包括电脑报、木蚂蚁等多个大型论坛已经被挂马。可谓五一长假最受关注的网络安全事件。

Discuz论坛允许使用手机访问论坛wap目录来访问论坛，用wap方式访问论坛时可以查看帖子和发送帖子、短消息等，但是其服务器端的处理过程并没有过滤wap方式发帖的标题，使得我们可以输入特殊构造的字符而引发跨站攻击。

附：官方关于此问题的解决方案http://www.discuz.net/thread-286076-1-1.html
4.0.0及之前版本补丁地址: http://download.discuz.net/patch/20060503_40.zip
4.1.0 补丁地址: http://download.discuz.net/patch/20060503_41.zip