VULHUB ™

### 简要描述： 可以任意查看权限不够的帖子的部分内容，导致敏感信息泄漏 ### 详细说明： Discuz 中的帖子分享时会显示帖子内容，但由于过滤不完善，导致任何帖子（即使无权访问）均可分享。 （备注：仅检测了最新版的 Discuz X2.5） ### 漏洞证明： 更新至新版 [<img src="https://images.seebug.org/upload/201208/0119271725f36b5cdd3acd59c9c2dec5ffe8a29d.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201208/0119271725f36b5cdd3acd59c9c2dec5ffe8a29d.png) 举例： 一最高权限的帖子 [<img src="https://images.seebug.org/upload/201208/01192809c86be20871eea8ceaaddb23f15961a69.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201208/01192809c86be20871eea8ceaaddb23f15961a69.png) 从地址栏得知TID = 2 运行javascript（其中的id=2对应上述TID）： ``` showWindow('k_share', 'home.php?mod=spacecp&ac=share&type=thread&id=2', 'get', 0); ``` 此时弹出分享窗口，已经显示了部分帖子内容： [<img src="https://images.seebug.org/upload/201208/01193007585c141d81d400b695d7955be2a7830f.png" alt="" width="600"...

### 简要描述： 可以任意查看权限不够的帖子的部分内容，导致敏感信息泄漏 ### 详细说明： Discuz 中的帖子分享时会显示帖子内容，但由于过滤不完善，导致任何帖子（即使无权访问）均可分享。 （备注：仅检测了最新版的 Discuz X2.5） ### 漏洞证明： 更新至新版 [<img src="https://images.seebug.org/upload/201208/0119271725f36b5cdd3acd59c9c2dec5ffe8a29d.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201208/0119271725f36b5cdd3acd59c9c2dec5ffe8a29d.png) 举例： 一最高权限的帖子 [<img src="https://images.seebug.org/upload/201208/01192809c86be20871eea8ceaaddb23f15961a69.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201208/01192809c86be20871eea8ceaaddb23f15961a69.png) 从地址栏得知TID = 2 运行javascript（其中的id=2对应上述TID）： ``` showWindow('k_share', 'home.php?mod=spacecp&ac=share&type=thread&id=2', 'get', 0); ``` 此时弹出分享窗口，已经显示了部分帖子内容： [<img src="https://images.seebug.org/upload/201208/01193007585c141d81d400b695d7955be2a7830f.png" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201208/01193007585c141d81d400b695d7955be2a7830f.png)