رد مع اقتباسنعم و نيوستايل مصاب كمان حتى موقع الشركة مصاب و تم إبلاغ الشركة و انا عندي رقعتها بطريقتي الخاصة
ثغرة XSS في النسخة Vbulletin 4.0.2
السلام عليكم
ظهرت ثغرة جديدة في النسخة الرابعة 4.0.2 يوم أمس
الثغرة ممكن بواسطها سحب الكوكيز الخاص بأي عضو مجرد الدخول لرابط معين داخل المنتدى
والحيل كثيرة لجر الاعضاء للدخول للرابط وبعدها سحب العضويات
طبعا بيتم كتابة الاستغلال لهذه الثغرة وتضمينه اسم ملف على موقع اخر مصرح بالكتابة عليه
وبمجرد دخول العضو للرابط بيتم سحب الكوكيز وتسجيله بملف خارجي يمكن استغلاله للدخول بالعضوية .
الملف المصاب هو search.php
الحل المؤقت الان هو استبدال هذا الملف بـ ملف الـ index.php
وننتظر الترقيع الرسمي من الشركة
وللاسف كثير مواقع عربية معروفة رقت للاصدار ومواقعها مصابة الان بالثغرة .
...
منقول...
نعم و نيوستايل مصاب كمان حتى موقع الشركة مصاب و تم إبلاغ الشركة و انا عندي رقعتها بطريقتي الخاصة
الترقيع كما ذكرته الشركه
من هذا الرابط
استبدل الملف المرفق
بملف
الموجود في
كود:/forum/vb/search/type.php
وابحث في القوالب عن كلمة
واستبدلها بـكود:{vb:raw query}
تجدها حوالي اكثر من خمس مراتكود:{vb:var query}
والف شكر لاخوي TW!$T3R الي ابلغني بالثغره قبل يومين قبل صدورها من الشركة
تاريخ الثغره 2010-03-19
طريقة اختراق الثغره
http://inj3ct0r.com/exploits/9697
الذين يشاهدون الموضوع الآن: 1 (0 من الأعضاء و 1 زائر)
ضوابط المشاركة
مواقع النشر (المفضلة)