|
Xss في كل نسخ الجيل 3.6 - الترقيع في الداخل
الثغرة فى جميع نسخ vBulletin 3.6.x
نعـــلم انهـــا قديمــة لكــنــ نـــرجــو من قفــلهـــا فى المنتديــاتــ حتا لا يتم العبثـ بلمنتدى الثغرة سيئة لأنها تسرق الكوكيز ليس من المنتدى بل من لوحة التحكم وهذا يعني أنه إذا نجح المخترق في تطبيق الثغرة على منتداك فإنه سيتمكن من الحصول على الكوكيز الخاص بالـ cpsession وبالتالي لا يدخل إلى المنتدى باسمك وحسب بل يدخل إلى لوحة التحكم أيضاً على كل حال الحل هو كالتالي: في الملف admincp/index.php استبدل السطر التالي: $vbulletin->input->clean_array_gpc('r', array('navprefs' => TYPE_STR)); بما يلي: $vbulletin->input->clean_array_gpc('r', array('navprefs' => TYPE_NOHTML)); أيضاً ابحث عن: $vbulletin->input->clean_array_gpc('r', array( 'prefs' => TYPE_STR, 'dowhat' => TYPE_STR, 'id' => TYPE_INT )); واستبدله بـ: $vbulletin->input->clean_array_gpc('r', array( 'prefs' => TYPE_NOHTML, 'dowhat' => TYPE_STR, 'id' => TYPE_INT )); والآن أنت بأمان مكتشف الثغرة هو Author: insanity منقـــوال للحمــاية |
ياريت المصصدر !!!
|
| جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 05:30 AM. |
Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012