بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
عميلنا العزيز
ظهرت ثغرة في سكربت الفيبلوتين - vBulletin
الثغرة تعمل على جميع اصدارات الجيل الثالث والرابع
فكرة الثغرة
الثغرة في ملف المجموعات group.php
بمعنى اخر لكي تعمل الثغرة بنجاح لا بد من توفر خاصية المجموعات في سكربت الفي بي
يمكن للمخترق استخراج معلومات قاعدة البيانات - اسمها - اليوزر الخاص بها - وباسوردها
أيضا يمكن للمخترق استخراج باس ورد المدير ودخول لوحة تحكم المنتدى من خلال باس ورد الادمن
-----------------------------------------------------------------------------
الحماية من الثغرة
1- وضع جدار ناري على مجلد الادمن ( هـام)
2- منع مجموعات الاعضاء - والمجموعات التي تريد من خاصية القروبات - وخاصية انشاء قروب خاص
3- الدخول على ملف group.php وجعل محتواه فارغ (حل جذري)
تحياتي لكم
فريق الدعم الفني
Friday, May 27, 2011
