المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : [ثغرة ] vBulletin xss 3.5.3 and 3.0.12


MIDO-EGYPT
2008-12-12, 03:00 PM
السلام عليكم ورحمة الله وبركاتة

•:*¨`*:•. .•:*¨`*:•.
::: اسعد الله صباحكـم:::
:: ومساؤكم بكل خير ::
0..................0
*-:¦:-*


ثغرة xss في جميع اصدارات vb الجيل الثالث تقريبا , ولكن مكتوب انها تعمل على 3.5.3 و 3.0.12 يعني اخر الاصدارات ,

Software: vBulletin
Vendor: http://www.vBulletin.com (http://www.vBulletin.com)
Versions: 3.0.12-3.5.3
Class: Remote
Status: Unpatched
Exploit: Available
Solution: Available
Discovered by: imei addmimistrator
Risk Level: Medium

طبعا تشبهه ثغرات الفلاش لكن تختلف عنها ,,

اولا شروط الثغره :
1: ان يكون الادمن مفعل ميزات البريد الالكتروني = نعم
2: ان يكون الادمن سامح للاعضاء بإرسال بالبريد الالكتروني الاعضاء الاخرين = نعم
3: ان يكون خيار ضمان الاستعمال (Use Secure Email Sending=No) = لا

واكثر المنتديات معموله بتلكـ الطريقه ,,

تقفيل الثغرة بسيطة جدااا

من لوحة التحكم المنتدى ...
خيارات المنتدى
إعدادات البريد الإكتروني
هنا يرجع الامر لكـ
اذا كنت ترغب الاعضاء بمراسلة بعضهم ..
عليكـ وضع ( نعم) على الخيارت التي بالصورة المرفق
اما اذا كنت لا ترغب عليكـ بوضع ( لا ) على الخيارت التي بالصورة ..
وبتكون هيكـ قفلت الثغرة ..

http://traidnt.net/vb/attachment.php?attachmentid=42494&stc=1&thumb=1&d=0

منقول من الاخت
الشريرة

:)