【2013.12.23】警惕DiscuzX 个人空间音乐盒mp3player.swf xss漏洞[更新：2013.12.30］

小樱

［补丁更新：2013.12.30］
【DiscuzX发布新版修复安全漏洞】#客户感谢#今日我们收到来自"DiscuzX"官方的感谢称：在刚刚发布的最新版本(Discuz! X3.1 正式版 20140101)修复了我们于12月23日预警并报告的mp3player.swf文件跨站脚本漏洞。建议广大的Discuz!用户及时更新。更新下载：http://www.discuz.net/thread-3457145-1-1.html

【警惕DiscuzX mp3player.swf跨站脚本漏洞】今日我们接到某站长反馈：“他最新安装DzX系统被扫描报告mp3player.swf存在跨站脚本漏洞”。经分析测试发现该漏洞确实存在并影响到最新Discuz X3.1及以下版本，现已报告给官方。由于该漏洞细节早被曝光，可临时删除/static/image/common/mp3player.swf。

转一个老帖子。