فلسطين اليوم
عدد الرسائل : 542
العمر : 36
المهنة : 
الهواية : 
الأوسمة : 
اعلام الدول : 
nbsp& : 
nps : 
تاريخ التسجيل : 26/06/2008
بطاقة الشخصية
فلسطين اليوم:
 |  موضوع: ثغرة Xss للنسخة 3.7.1  الأربعاء يوليو 02, 2008 9:06 pm | |
| [center][center]بعد تأكيد موقع الـ http://www.vbulletin.com
بوجود ثغرة Xss في بعض من الملفات للنسخ 3.7.1 وكذلك 3.6.10
حيث تم طرح الإعلان على هذا الرابط
http://www.vbulletin.com/forum/showthread.php?t=274882
انصح الجميع اولاً بالترقية للأصدار الأخير 3.7.1 ومن ثم تركيب الباتش الخاص في إغلاق الثغرة
واللي يحب يغلق بنفسه يقدر يطبق الشروحات اللتي بالأسفل او تحميل الملف المرفق حيث قمت بترقيعه وهو جاهز للنسخة 3.7.1
كل اللي عليكم استبدال ملف functions.php وملف version_vbulletin.php بداخل مجلد الـ includes
وكذلك إستبدال ملف index.php بداخل مجلد الـ admincp
الملفات المرقعة وجاهزة موجودة في نهاية الموضوع للي ما يبي يتعب
 :+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+
ترقيع ملف الـ index.php الموجود في مجلد الـ admincp
ابحث عن
كود PHP:
$redirect = htmlspecialchars_uni(fetch_replaced_session_url($vbulletin->GPC['redirect']));
استبدله بالتالي
كود PHP:
$redirect = htmlspecialchars_uni(fetch_replaced_session_url($vbulletin->GPC['redirect']));
$redirect = create_full_url($redirect);
$redirect = preg_replace(
array('/�*59;?/', '/�*3B;?/i', '#;#'),
'%3B',
$redirect
);
$redirect = preg_replace('#&%3B#i', '&', $redirect);
وكذلك في نفس الـ index.php الموجود في مجلد الـ admincp
ابحث عن
كود PHP:
$mainframe = ". iif(!empty($vbulletin->GPC['loc']) AND !preg_match('#^[a-z]+:#i', $vbulletin->GPC['loc']), $vbulletin->GPC['loc'], "index.php?" . $vbulletin->session->vars['sessionurl'] . "do=home") . "\" name=\"main\" scrolling=\"yes\" frameborder=\"0\" marginwidth=\"10\" marginheight=\"10\" border=\"no\" />\n";
استبدله بالتالي
كود PHP:
$mainframe = ". iif(!empty($vbulletin->GPC['loc']) AND !preg_match('#^[a-z]+:#i', $vbulletin->GPC['loc']), create_full_url($vbulletin->GPC['loc']), "index.php?" . $vbulletin->session->vars['sessionurl'] . "do=home") . "\" name=\"main\" scrolling=\"yes\" frameborder=\"0\" marginwidth=\"10\" marginheight=\"10\" border=\"no\" />\n";
:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+
ترقيع ملف الـ functions.php الموجود في مجلد الـ includes
ابحث عن كلمة
كود PHP:
if (!preg_match('#^[a-z]+://#i', $url))
استبدلها بالتالي
كود PHP:
if (!preg_match('#^[a-z]+(?, $url))
وكذلك في نفس الملف functions.php الموجود في مجلد الـ includes
ابحث عن
كود PHP:
{
$modcache["$userid"]["$do"] = 1;
break;
}
}
else
{
$modcache["$userid"]["$do"] = 1;
break;
}
استبدله بالتالي
كود PHP:
{
$modcache["$userid"]["$do"] = 1;
}
}
else
{
$modcache["$userid"]["$do"] = 1;
}
:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+
في ملف version_vbulletin.php الموجود في مجلد الـ includes
ابحث عن
كود PHP:
define('FILE_VERSION_VBULLETIN', '');
استبدله بالتالي
كود PHP:
define('FILE_VERSION_VBULLETIN', '3.7.1 Patch Level 1');
وبالتوفيق للجميع ,,, [/center] [/center] | |
|
زائر
زائر
| | موضوع: رد: ثغرة Xss للنسخة 3.7.1 الأربعاء يوليو 23, 2008 10:04 pm | |
| جميل رهيب وشكراً علي الموضوع |
|
