07-31-2014, 10:40 PM
|
عضو مميز
|
|
تاريخ التسجيل: Jul 2014
المشاركات: 6,723
|
|
[ تحذير ] منتديات vBulletin الاصدار : 5.1.2 | ثغرة امنية عالية الخطورة
السلام عليكم ورحمة الله وبركآته . .
اقدم تنبيه للأخوان الذين قاموا بتنصيب النسخة : 5 الاصدار : 1.2 .
هذه النسخة مصابة بـ ثغرة خطيرة جداً وهي SQL Injection
وهذه الثغرة تمكن المخترق من استخراج معلومات الادمن وماشابه ذلك من معلومات غير مصرح له
بالحصول عليها ..
مكان الاصابة :
رمز PHP:
if (!empty($params['startswith']))
{
if ($params['startswith'] == '#')
{
$where[] = 'user.username REGEXP "^[^a-z].?"';
}
else
{
$where[] = 'user.username LIKE "' . $params['startswith'] . '%"';
}
}
الترقيع :
رمز PHP:
if (!empty($params['startswith']))
{
if ($params['startswith'] == '#')
{
$where[] = 'user.username REGEXP "^[^a-z].?"';
}
else
{
$where[] = 'user.username LIKE "' . $db->escape_string_like($params['startswith']) . '%"';
}
}
الاكتشاف ليس لي . والترقيع ليس لي . تم تجميع الموضوع مني من عدة مصادر .
وشكراً لكم .
ساعد في نشر والارتقاء بنا عبر مشاركة رأيك في الفيس بوك
|