Discuz!x3.2-3.4 登陆错误次数永远4次bug修复(高危漏洞)

漏洞详情
在 Discuz! X3.2 Release 20141225 版本以及同期发布的 UCenter 软件中,开发了一个部分生效的 “允许用户登录失败次数” 功能,但此功能未完整开发之后仅仅注释了界面上的功能项,后续版本也没有继续开发,导致部分站点的 login_failedtime 在 UCenter 后台基本设置处保存时被设置成 0 ,而由于不同功能项对 0 的处理方式有差异导致系统内对此情况的处理手段是不记录登录失败次数而在提示信息中固定返回 4 次,导致漏洞发生,所以如果你的网站输错密码不管多多少次都提示还可以尝试4次,那么请立即更新修复。

Discuz! X安装时,默认不会触发这个漏洞,只有当管理员进入UCenter,设置保存UCenter设置时,才会导致 login_failedtime 被设置为0,从而触发漏洞。

风险等级

影响版本
Discuz! X 2014年12月25日 至 2021年6月28日 之间的所有版本(X3.2、X3.3、X3.4、X3.5)
单独使用UCenter的用户请参照上述日期比对文件

修复方法(3.2-3.4都适用)
1.pre_ucenter_settings
搜索 login_failedtime
如果没有直接添加
然后配置 参数 为5 如图
Discuz!x3.2-3.4 登陆错误次数永远4次bug修复(高危漏洞)_第1张图片
2.
uc_client/data/cache/settings.php
添加:

'login_failedtime' => '5',

3.完事

如果嫌麻烦或动手能力比较差的亲们,可以去discuz应用中心下载 2021年6月新漏洞专项检测修复工具 插件修复

你可能感兴趣的:(Discuz,数据库,运维)