المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : ثغرتين في برنامج الـvBulletin الأصدار 3.6.0


MIDO-EGYPT
2008-12-12, 03:48 PM
السلام عليكم ورحمه الله


ندخل بالموضوع ,

بدور في ملفات المنتدي , النسخة vBulletin 3.6.0 لقيت ثغرتين

واحدة أنا جربتها وفعاله جداً والثانية ما ظبطت معي كتير لأن أغلب المنتديات حاذفه الملف

او حاطين جدار ناري ولكن الثانية خطر

الأولي في مجلد Install تحديداً ملف tableprefix.php

الخطأ البرمجي في السطر 31

require_once(DIR . "/{$vbulletin->config['Misc']['admincpdir']}/global.php");

الترقيع : جدار ناري أو حذف الملف نهائياً أو تغير اسم مجلد الـInstall

الأكتشاف : Cyb3rT

الأستثمار : لا يوجد حفاظاً علي آمن المنتديات العربية


___________________________________

الثغرة الثانية وهي الأخطر

تكمن في الصفحة الرئيسية للمنتدي

بملف payment_gateway.php
الثغرة بالسطر رقم 43
if (file_exists(DIR . '/includes/paymentapi/class_' . $api['classname'] . '.php'))



الترقيع , : تعديل الملف بأي محرر php ولا تنسي أخذ نسخة أحتياطية من الملف في حالة حدوث خطأ

الأكتشاف : Cyb3rT

الأستثمار : لا يوجد حفاظا علي أمن المنتديات


وللعلم لو حللت الأخطأء هتعرفوا أزاي يتعمل عليها File Include

ملحوظة الثغرتين :FileInclusion

مع التحية http://traidnt.net/vb/images/smilies/icon26.gif
منقووول

سمو المشآعر
2008-12-30, 02:50 AM
آخوي ميدو


الله يعطيك العافيه يآآخوي ومبدع مآشآء الله عليك


لك ودي وأحترامي لقلمك الرآآآآآآآآآئـع


اخوك

سمو المشآعر