具體緣由烏云說的很清楚了

簡(jiǎn)單來說，就是portalcp_diy.php中，在進(jìn)行上傳模板文件的處理時(shí)，調(diào)用了import_diy進(jìn)行操作，在import_diy把上傳的xml文件進(jìn)行一定的處理后，將blockdata這個(gè)xml標(biāo)簽中的內(nèi)容傳給block_import，block_import檢測(cè)了一些xml標(biāo)簽后，將其中style標(biāo)簽下的hash標(biāo)簽作為id，將其中的值插入數(shù)據(jù)庫。于是注入一個(gè)特定的xml就可以修改任意模板。

在上述漏洞上的補(bǔ)充:

? ? block_import的xml處理有點(diǎn)暈，審計(jì)的時(shí)候應(yīng)該記錄一下每個(gè)變量的聲明和值，

? ?一開始其中的C::t('common_block_style')->fetch_all_by_hash($hashes)?不理解，發(fā)現(xiàn)C就是core類，core中的t方法return self::_make_obj($name, 'table', DISCUZ_TABLE_EXTENDABLE);? ?在_make_obj中，在本次調(diào)用中是用來生成表名的，在insert部分，傳了一個(gè)common_block_style進(jìn)去，然后再_make_obj中進(jìn)行拼接成為table_common_block_style,并返回這個(gè)表名，在數(shù)據(jù)庫中也能查得到，其中的值也確實(shí)是正確的。