الملف الشخصي
مشاهدة المشاركات
رسالة خاصة
رقيع جديد لنسخ الـvBuletin وخاصه 3.8.4
بسم الله الرحمن الرحيم
حسب ما ذكرت شركة vbulletin أنه تم اكتشاف ثغرة xss جديدة
الثغرة موجودة في كل النسخ
نظرا ً لوجود اخطاء لااعلم من اي ترقيع نزل او من خطوات خاطئه من من قام بالترقيع
هذه خطوات الترقيع
الملف
ابحث عن
class_dm.php
كود:function verify_link(&$link) { if (preg_match('#^www\.#si', $link)) { $link = 'http://' . $link; return true; } else if (!preg_match('#^[a-z0-9]+://#si', $link)) { // link doesn't match the http://-style format in the beginning -- possible attempted exploit return false; } else { return true; } }
إستبدله بـ
كود:function verify_link(&$link, $strict = false) { if (preg_match('#^www\.#si', $link)) { $link = 'http://' . $link; return true; } else if (!preg_match('#^[a-z0-9]+://#si', $link)) { // link doesn't match the http://-style format in the beginning -- possible attempted exploit return false; } else if ($strict && !preg_match('#^(http|https)://#si', $link)) { // link that doesn't start with http:// or https:// should not be allowed in certain places (IE: profile homepage) return false; } else { return true; } }
ابحث عن
class_dm_user.php
كود:function verify_homepage(&$homepage) { return (empty($homepage)) ? true : $this->verify_link($homepage); }
إستبدله بـ
كود:function verify_homepage(&$homepage) { return (empty($homepage)) ? true : $this->verify_link($homepage, true); }
ملف version_vbulletin.php لغير المرخصين يبقى كما هو
اما المرخصين يحذف كل مابداخله ويضع
كود:<?php define('FILE_VERSION_VBULLETIN', '3.8.4 Patch Level 1'); ?>
ويفضل للمرخصين تحميله من الشركه
ولنسخه 3.8.4 تحميل المرفقات .. ورفعهم لمجلد includes واستبدال القديمه
رد مع اقتباس