Eng Muhamed
2008-03-13, 06:06 PM
ندخل بالموضوع ,
بدور في ملفات المنتدي , النسخة vBulletin 3.6.0 لقيت ثغرتين
واحدة أنا جربتها وفعاله جداً والثانية ما ظبطت معي كتير لأن أغلب المنتديات حاذفه الملف
او حاطين جدار ناري ولكن الثانية خطر
الأولي في مجلد Install تحديداً ملف tableprefix.php
الخطأ البرمجي في السطر 31
require_once(DIR . "/{$vbulletin->config['Misc']['admincpdir']}/global.php");
الترقيع : جدار ناري أو حذف الملف نهائياً أو تغير اسم مجلد الـInstall
الأكتشاف : أخوكم في الله
الأستثمار : لا يوجد حفاظاً علي آمن المنتديات العربية
الثغرة الثانية وهي الأخطر
تكمن في الصفحة الرئيسية للمنتدي
بملف payment_gateway.php
الثغرة بالسطر رقم 43
if (file_exists(DIR . '/includes/paymentapi/class_' . $api['classname'] . '.php'))
الترقيع , : تعديل الملف بأي محرر php
ولا تنسي أخذ نسخة أحتياطية من الملف في حالة حدوث خطأ
وللعلم لو حللت الأخطأء هتعرفوا أزاي يتعمل عليها File Include
ملحوظة الثغرتين :FileInclusion
مع التحية :cupidarrow:
بدور في ملفات المنتدي , النسخة vBulletin 3.6.0 لقيت ثغرتين
واحدة أنا جربتها وفعاله جداً والثانية ما ظبطت معي كتير لأن أغلب المنتديات حاذفه الملف
او حاطين جدار ناري ولكن الثانية خطر
الأولي في مجلد Install تحديداً ملف tableprefix.php
الخطأ البرمجي في السطر 31
require_once(DIR . "/{$vbulletin->config['Misc']['admincpdir']}/global.php");
الترقيع : جدار ناري أو حذف الملف نهائياً أو تغير اسم مجلد الـInstall
الأكتشاف : أخوكم في الله
الأستثمار : لا يوجد حفاظاً علي آمن المنتديات العربية
الثغرة الثانية وهي الأخطر
تكمن في الصفحة الرئيسية للمنتدي
بملف payment_gateway.php
الثغرة بالسطر رقم 43
if (file_exists(DIR . '/includes/paymentapi/class_' . $api['classname'] . '.php'))
الترقيع , : تعديل الملف بأي محرر php
ولا تنسي أخذ نسخة أحتياطية من الملف في حالة حدوث خطأ
وللعلم لو حللت الأخطأء هتعرفوا أزاي يتعمل عليها File Include
ملحوظة الثغرتين :FileInclusion
مع التحية :cupidarrow: