discuz x3.0 20130801版本发表日志可xss

### 简要描述： 论坛开启日志功能的情况下，发表日志，在引入网络图片时可以实现xss。 ### 详细说明： 一、详细说明： 1、论坛开启日志功能。 2、用户登录后打开日志功能。 3、发表日志，在引入网络图片时可以实现xss。 在ubuntu12.04LTS下搭建的apache2+php+mysql环境下，使用一切默认设置可以再现此漏洞，但我使用win2003时，之前能够再现，在没有更新配置的情况下发现今天不可再现此漏洞，onerror被替换成了点（.） ### 漏洞证明： 1、登录后打开日志模块。 2、发表日志，内容如下： [<img src="https://images.seebug.org/upload/201401/262051049d2f4c648bbfb4758b107bfefc6829bd.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/262051049d2f4c648bbfb4758b107bfefc6829bd.png) 3、单击提交 [<img src="https://images.seebug.org/upload/201401/26205157d0061ec966863e367ec99f3b81b27193.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/26205157d0061ec966863e367ec99f3b81b27193.png) 4、提交日志后再浏览日志。 [<img src="https://images.seebug.org/upload/201401/2620533013f273c83028babc23a77cd30e129bb3.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/2620533013f273c83028babc23a77cd30e129bb3.png)