تنويه عن ثغره من نوع XSS فى منتديات ال ib اصدارات 2.1.x مع الترقيع
السلام عليكم و رحمه الله و بركاته
شرح مختصر و بسيط عن الثغره
و هى ان اليوزر يستطيع زرع كود فى صوره avatar و اتغلال خاصيه البحث لتوجيه الكود المزروع فى هذا ال avatar الى تنفيذ المطلوب منه :: مثلا توجيه المنتدى الى مكان اخر يمكن ان ينفذ من خلال هذه الثغره
و هذا هو الحل المبدائى الذى طرحته الشركه الرئيسيه و هو عباره عن تعديل فى كود المنتدى فى الملف sources/action_admin/member.php
حيث يمنع ال avatar من الظهور فى البحث فى المنتدى
ارجو من الجميع الترقيع
قم بتطبيق ما يلى ::
افتح sources/action_admin/member.php
و اتجه الى السطر رقم 3456
ملحوظه رقم السطر المذكور هو رقم السطر فى النسخ المرخصه تقريبا و لكن فى النسخ الاخرى تجدون السطر هو رقم 3441
و طبعا عشان توصل للسطر بسهوله تعمل بحث عن اول سطر فى الكود القادم و ستصل للسطر بسهوله
و سيكون هذا الكود امامك
كود:
$joined = $this->ipsclass->get_date( $r['joined'], 'JOINED' );
$people .= <<<EOF
<td width='{$td_width}%' align='left' class='$class'>
فأضف فوقه السطر التالى ::
كود:
$avatar = "<img src='{$this->ipsclass->skin_url}/images/memsearch_head.gif' border='0' />";
و ثم احفظ التغييرات
و تم بذلك الترقيع المؤقت الذى طرحته الشركه invision board
__________________
http://Sec-Zone.Com
Security Zone
حماية سيرفرات+ادارة +خدمات دعم فني
تحويل جميع انواع المنتديات و دمج قواعد بيانات
استضافه مواقع+دردشة
admin@sec-zone.com