نزول نسخه 3.6.5 وباتش للنسخه 3.6.4 لترقيع الثغره

[معلومات العضو ابو محمد الغييثي]

ثغره جديده من نوع Remote SQL Injection Exploit

الثغره تعتبر متوسطه لأنه يحتاج الى صلاحيات مشرف او مشرف عام

الاحتياط واجب والترقيع مطلوب

النسخه الجديده جت مفاجأه للكثيرين لكن تعودنا من شركة vBulletin المفاجآت دائماً

نزلت لترقيع الثغره الجديده واصلاح بعض الاخطاء مو كلها والشركه تنصح بتأني الى نسخة 3.6.6 او 3.6.8 حتى تحل اغلب الاخطاء

النسخه الجديده نزلت في منظقة الاعضاء فقط يعني غير منزوعة الكود

الترقيع من خبير الحمايه اخونا العندليب الله يجزاه كل خير

السلام عليكم ورحمة الله وبركاته

كلام كاتب المقال صحيح 100% وبالفعل يوجد ثغره يتم من خلالها حقن تعليمة sql لجلب معلومات حساسه من قاعدة البيانات إذا كان المستثمر للثغره أحد المشرفين أو المشرف العام بنفسه.

ليست قويه جداً فتطمن يا أخي الكريم

والترقيع قام بشرحه الكاتب وقال:

1- إفتح ملف inlinemod.php

2- ابحث عن:

كود PHP:

 foreach ($postids AS $index => $postid) 
        { 
               if ($postids["$index"] != intval($postid)) 
            { 
                unset($postids["$index"]); 
            } 
        } 


3- إستبدله بـ:

كود PHP:

 foreach ($postids AS $index => $postid) 
        { 
           $postids["$index"]=(int)$postids["$index"]; 
        } 


4- إبحث عن:

كود PHP:

 foreach ($threadids AS $index => $threadid) 
        { 
            if ($threadids["$index"] != intval($threadid)) 
            { 
                unset($threadids["$index"]); 
            } 
        } 


5- إستبدله:

كود PHP:

 foreach ($threadids AS $index => $threadid) 
        { 
           $threadids["$index"]=(int)$threadids["$index"]; 
        } 


 

 

 

 

أخوي ابو محمد الغييثي

بارك الله فيك والله يجزاك خير

 

 

 

 

[معلومات العضو ابو محمد الغييثي]

يا هلابك داعي الذكرى نورت وانا اخوك

وياليت الادارة هنا تطلع على الموضوع لأنه يخص نسخة المنتدى اللي جالسين نشارك فيه