【漏洞预警】Discuz 任意文件删除漏洞

漏洞描述

       Crossday Discuz! Board（简称 Discuz!）是北京康盛新创科技有限责任公司推出的一套通用的开源的社区论坛软件系统。采用 PHP 和 MySQL 构建的性能优异、功能全面的社区论坛平台。利用特殊构造的请求触发可参与文件删除操作，导致了任意文件删除漏洞的发生。早在2014年有白帽子向官方报告了一个类似的漏洞，但是由于没有修补全导致还有其他方式可以进行利用。

影响范围

        Discuz! X3.3

        Discuz! X3.2

        Discuz! X3.1

        Discuz! X2.5

加固方法

        Discuz! X 官方Git更新补丁https://gitee.com/ComsenzDiscuz/DiscuzX/blob/7d603a197c2717ef1d7e9ba654cf72aa42d3e574/upload/source/include/spacecp/spacecp_profile.php