سد ثغرة و ترقيع pl1 للنسخة 3.7.4

SH3A3-Q · 21 نوفمبر 2008

بسم الله الرحمن الرحيم

هذا الترقيع يخص النسخة 3.7.4 وقد أعلنت الشركة اليوم صباحاً 21/11/2008 عن وجود ثغرة XSS
في لوحة تحكم العضو تخول الهاكر بالدخول لحسابات الأعضاء أو التعديل في بياناتهم..

المصدر:
vBulletin 3.7.4 PL1 Released - vBulletin Community Forum

رابط ذا صلة:
[

الترقيع :
1- للأعضاء المرخصين توجه إلى الرابط التالي وقم بتحميل الباتش:
http://members.vbulletin.com/patches.php

2- للأعضاء الغير مرخصين بإمكانك التعديل على الملفات المصابة:
ملف واحد فقط وهو usercp.php افتح الملف بأي برنامج تحرير وابحث عن:

رمز PHP:

$visitormessage['summary'] = fetch_word_wrapped_string(fetch_censored_text(fetch_trimmed_title(strip_bbcode($visitormessage['pagetext'], true, true), 50)));

استبدلها بـ:

رمز PHP:

$visitormessage['summary'] = htmlspecialchars_uni(fetch_word_wrapped_string(fetch_censored_text(fetch_trimmed_title(strip_bbcode($visitormessage['pagetext'], true, true), 50))));

للإفادة فقط التغيير الذي تم أنه أضيف htmlspecialchars_uni طبعاً هذه الـfunction تقوم بمنع المستخدم من استخدام الحروف الخاصة المتفق عليها دولياً مثل علامات التنصيص والأحرف مثل & والمسافة وما شابه .. وتقوم بتحويلها إلى & | " | ' ... إلخ أما uni فهو نوع جديد أكثر أمان تم إضافته للــfunction .. 🙂

لتغيير رقم النسخ استبدل كامل محتويات الملف includes/version_vbulletin.php بـ:

رمز PHP:

مع تمنياتي لكم بالتوفيق
أخوكم الصغير العُبد

سد ثغرة و ترقيع pl1 للنسخة 3.7.4

SH3A3-Q

ابو الميرزا

نحن نقدر خصوصيتك