السلام عليكمـ ورحمة اللة وبركاتة
ثغرة الرسائل الخاصة
ثغرة مهمة تم اكتشافها قبل 6 شهور ولحد الان لم تعمل شركة ال vbulletin على سد هذه الثغرة مع الاسف ... النسخ المصابة بها هي 3.03, 3.0.4 ,3.0.5 3.0.7,3.0.6
كيفية معرفة ان منتداك مصاب بها او لا
انسخ هذا الكود
كود:
<Script>@@@@@@@@@@@@@@@@@@@@:alert(document.@@@@@@ @@@@@@);</Script>
ثم اذهب الى الرسائل الخاصة واكتب رسالة جديدة وضع هذا الكود في خانة المرسل اليه وفي خانة العنوان ثم اضغط على زر شاهد اولا سترى خروج مربع يحوي على معلومات وعلى باسورد المشرف العام ولكنه مشفر
في حالة عثورك على هذا الشي معناه ان منتداك مصاب بهذه الثغرة
علاج هذه الثغرة
اذهب الى ملف private.php
وابحث عن هذا السطر
كود:
$pm['title'] = trim($pm['title']);
واستبدله بهذا السطر
كود:
[ $pm['title'] = trim(xss_clean($pm['title'));
ثم ارفع الملف لمكانه في المنتدى وبهذا انتهى خطر هذه الثغرة المهمة
الي يبي يصيرمشرف عام طبق والحق ولامتلحق نعي انشااللة تلحق
تحيات المدير العام