c.ronaldo
مدير عام
عدد الرسائل : 412
العمر : 53
الموقع : EGYPT ام الدنيا
المزاج : معصب
تاريخ التسجيل : 01/09/2008
 | | موضوع: ترقيع ثغرة Xss للنسخة 3.7.1 الجمعة سبتمبر 05, 2008 8:33 pm | |
|
بعد تأكيد موقع الـ
http://www.vbulletin.com
بوجود ثغرة Xss في بعض من الملفات للنسخ 3.7.1 وكذلك 3.6.10
حيث تم طرح الإعلان على هذا الرابط
http://www.vbulletin.com/forum/showthread.php?t=274882
انصح الجميع اولاً بالترقية للأصدار الأخير 3.7.1 ومن ثم تركيب الباتش الخاص في إغلاق الثغرة
واللي يحب يغلق بنفسه يقدر يطبق الشروحات اللتي بالأسفل او تحميل الملف المرفق حيث قمت بترقيعه وهو جاهز للنسخة 3.7.1
كل اللي عليكم استبدال ملف functions.php وملف version_vbulletin.php بداخل مجلد الـ
includes
وكذلك إستبدال ملف index.php بداخل مجلد الـ admincp
الملفات المرقعة وجاهزة موجودة في نهاية الموضوع للي ما يبي يتعب
:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+
ترقيع ملف الـ index.php الموجود في مجلد الـ admincp
ابحث عن
كود PHP:
$redirect = htmlspecialchars_uni
(fetch_replaced_session_url($vbulletin->GPC['redirect']));
استبدله بالتالي
كود PHP:
$redirect = htmlspecialchars_uni
(fetch_replaced_session_url($vbulletin->GPC['redirect']));
$redirect = create_full_url($redirect);
$redirect = preg_replace(
array('/�*59;?/', '/�*3B;?/i', '#;#'),
'%3B',
$redirect
);
$redirect = preg_replace('#&%3B#i', '&',
$redirect);
وكذلك في نفس الـ index.php الموجود في مجلد الـ admincp
ابحث عن
كود PHP:
$mainframe = "<frame src=\"" . iif(!empty($vbulletin-
>GPC['loc']) AND !preg_match('#^[a-z]+:#i', $vbulletin->GPC
['loc']), $vbulletin->GPC['loc'], "index.php?" . $vbulletin-
>session->vars['sessionurl'] . "do=home") . "\" name=\"main\"
scrolling=\"yes\" frameborder=\"0\" marginwidth=\"10\"
marginheight=\"10\" border=\"no\" />\n";
استبدله بالتالي
كود PHP:
$mainframe = "<frame src=\"" . iif(!empty($vbulletin-
>GPC['loc']) AND !preg_match('#^[a-z]+:#i', $vbulletin->GPC
['loc']), create_full_url($vbulletin->GPC['loc']),
"index.php?" . $vbulletin->session->vars['sessionurl'] .
"do=home") . "\" name=\"main\" scrolling=\"yes\"
frameborder=\"0\" marginwidth=\"10\" marginheight=\"10\"
border=\"no\" />\n";
:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+
ترقيع ملف الـ functions.php الموجود في مجلد الـ includes
ابحث عن كلمة
كود PHP:
if (!preg_match('#^[a-z]+://#i', $url))
استبدلها بالتالي
كود PHP:
if (!preg_match('#^[a-z]+(?<!
about|javascript|vbscript|data)://#i', $url))
وكذلك في نفس الملف functions.php الموجود في مجلد الـ includes
ابحث عن
كود PHP:
{
$modcache
["$userid"]["$do"] = 1;
break;
}
}
else
{
$modcache["$userid"]
["$do"] = 1;
break;
}
استبدله بالتالي
كود PHP:
{
$modcache
["$userid"]["$do"] = 1;
}
}
else
{
$modcache["$userid"]
["$do"] = 1;
}
:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+:+
في ملف version_vbulletin.php الموجود في مجلد الـ includes
ابحث عن
كود PHP:
define('FILE_VERSION_VBULLETIN', '');
استبدله بالتالي
كود PHP:
define('FILE_VERSION_VBULLETIN', '3.7.1 Patch Level 1');
وبالتوفيق للجميع | |
|
TiTo
مدير عام
عدد الرسائل : 562
العمر : 31
تاريخ التسجيل : 30/08/2008
| | موضوع: رد: ترقيع ثغرة Xss للنسخة 3.7.1 السبت سبتمبر 06, 2008 4:29 pm | |
| | |
|
c.ronaldo
مدير عام
عدد الرسائل : 412
العمر : 53
الموقع : EGYPT ام الدنيا
المزاج : معصب
تاريخ التسجيل : 01/09/2008
| | موضوع: رد: ترقيع ثغرة Xss للنسخة 3.7.1 الجمعة سبتمبر 12, 2008 1:06 pm | |
| مشكور اخى على المرور الطيب | |
|
TiTo
مدير عام
عدد الرسائل : 562
العمر : 31
تاريخ التسجيل : 30/08/2008
| | موضوع: رد: ترقيع ثغرة Xss للنسخة 3.7.1 السبت سبتمبر 13, 2008 5:42 pm | |
| | |
|
c.ronaldo
مدير عام
عدد الرسائل : 412
العمر : 53
الموقع : EGYPT ام الدنيا
المزاج : معصب
تاريخ التسجيل : 01/09/2008
| | موضوع: رد: ترقيع ثغرة Xss للنسخة 3.7.1 الإثنين سبتمبر 29, 2008 3:28 pm | |
| | |
|
A&N
مدير عام
عدد الرسائل : 222
العمر : 31
الموقع : www.migafire.com
المزاج : رايق
تاريخ التسجيل : 07/09/2008
| | موضوع: رد: ترقيع ثغرة Xss للنسخة 3.7.1 الثلاثاء أكتوبر 14, 2008 5:56 pm | |
| lمشكوررررررررر على الموضوع الرائع | |
|
