discuz! x& ucenter出現高風險安全漏洞，請儘快修復!

近日，discuz!安全中心監測到一個ucenter的高風險安全問題，可能會導致部分站點無法正確統計登錄失敗次數，導致站點存在被密碼爆破的風險。通過特殊配置或設計的程式可以通過無限次數破解密碼的方式非法控制帳號。

漏洞詳情

在 discuz! x3.2 release 20141225 版本以及同期發布的 ucenter 軟體中，開發了一個部分生效的 “允許用戶登錄失敗次數” 功能，但此功能未完整開發之後僅僅注釋了界面上的功能項，後續版本也沒有繼續開發，導致部分站點的 login_failedtime 在 ucenter 後台基本設置處保存時被設置成 0 ，而由於不同功能項對 0 的處理方式有差異導致系統內對此情況的處理手段是不記錄登錄失敗次數而在提示信息中固定返回 4 次，導致漏洞發生，所以如果你的網站輸錯密碼不管多多少次都提示還可以嘗試4次，那麼請立即更新修復。

discuz! x安裝時，默認不會觸發這個漏洞，只有當管理員進入ucenter，設置保存ucenter設置時，才會導致 login_failedtime 被設置為0，從而觸發漏洞。

風險等級

高

影響版本

discuz! x 2014年12月25日 至 2021年6月28日 之間的所有版本（x3.2、x3.3、x3.4、x3.5）

單獨使用ucenter的用戶請參照上述日期比對文件

您可以到應用中心下載“2021年6月新漏洞專項檢測修復工具”，查看自己的站點是否已受到了影響。
安全版本

2021-06-29 及以後的 discuz! x 和 ucenter

修復建議

1.目前官方已修復該漏洞，建議受影響的用戶儘快升級至最新版本：https://gitee.com/Discuz/DiscuzX/attach_files

2.無法升級最新版本的用戶，可以先運行“2021年6月新漏洞專項檢測修復工具”修復出錯的數據，並參考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站點文件。

【備註】：建議您在升級前做好數據備份工作，測試並評估業務運行狀況，避免出現意外