漏洞成因请见关联Issue: #I12XUQ:远程图片下载导致的 xss

(存档地址: https://web.archive.org/web/20220129153359/http://llfam.cn/2019/09/26/discuz_filename_lead_to_stored_xss/)

本PR通过对作者文章中指出的两个未有效过滤的参数均进行了抽去引号的过滤操作,使得POC无法正确闭合引号,无法正常执行攻击。

在此向报告此漏洞的llfam表示感谢,也欢迎更多人参与到关注Discuz! X安全的队伍中来。