المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : ثغرة امنية لمنتديات vBulletin اصدار الاصدار : 5.1.2


جارة الوادى
08-02-2014, 01:30 PM
ثغرة , امنية , لمنتديات , vBulletin , اصدار , الاصدار , : 5.1.2 , تنصيب , النسخة , المخترق , معلومات , حلول , مشكلة , الثغرة



السلام عليكم ورحمة الله وبركآته . .

اقدم تنبيه للأخوان الذين قاموا بتنصيب النسخة : 5 الاصدار : 1.2 .

هذه النسخة مصابة بـ ثغرة خطيرة جداً وهي SQL Injection

وهذه الثغرة تمكن المخترق من استخراج معلومات الادمن وماشابه ذلك من معلومات غير مصرح له

بالحصول عليها ..

مكان الاصابة :


if (!empty($params['startswith']))
{
if ($params['startswith'] == '#')
{
$where[] = 'user.username REGEXP "^[^a-z].?"';
}
else
{
$where[] = 'user.username LIKE "' . $params['startswith'] . '%"';
}
}



الترقيع :


if (!empty($params['startswith']))
{
if ($params['startswith'] == '#')
{
$where[] = 'user.username REGEXP "^[^a-z].?"';
}
else
{
$where[] = 'user.username LIKE "' . $db->escape_string_like($params['startswith']) . '%"';
}
}



وشكراً لكم .

نور القمر
08-02-2014, 05:27 PM
سلمت أناملك الذهبيه على ماخطته لنا
أعذب التحيات لك
لكـ خالص إحترامى

لوجين
05-07-2016, 09:25 AM
جزاكي ربي خيرا
مشكورة عالتوضيح