[ترقيع] Path Disclosure في vBulletin 3.x.x

[العندليب]

السلام عليكم ورحمة الله وبركاته

وجدت خطأ برمجي تافه في منتديات الـ vbulletin تمكن الهكرز من معرفة دليل موقعك إذا كانت خاصية register_globals مفعله في الـ php وافتراضياً يتم تفعيل هذه الخاصيه في جميع إصدارات الـ php .

الثغره ليست بالقويه جداً ولكنها تساعد الهكر المحترف في معرفة أين يقع مجلد موقعك داخل الخادم وهي موجوده في جميع الإصدارات من vbulletin 3.x.x سواءاً الجديد او القديم .

طريقة الترقيع :
إذا كانت نسخة منتداك من الإصدار القديم لـ vbulletin 3.0.x فاتبع التالي:
1- إفتح ملف global.php الموجود في مجلد لوحة تحكم المشرف العام admincp .
2- إبحث عن التالي :

كود PHP:

if (!isset($phrasegroups))
{
    $phrasegroups = array();
}
$phrasegroups[] = 'cpglobal';
if (!isset($specialtemplates))
{
    $specialtemplates = array();
} 


3- إستبدله بالأتي :

كود PHP:

if (!isset($phrasegroups) OR is_string($phrasegroups))
{
    $phrasegroups = array();
}
$phrasegroups[] = 'cpglobal';
if (!isset($specialtemplates) OR is_string($specialtemplates))
{
    $specialtemplates = array();
} 


4- إحفظ الملف وقم برفعه .

5- إفتح ملف global.php الموجود في مجلد لوحة تحكم المشرفين modcp .

6- إبحث عن التالي:

كود PHP:

if (!isset($phrasegroups))
{
    $phrasegroups = array();
} 


7- إستبدله بالأتي :

كود PHP:

if (!isset($phrasegroups) OR is_string($phrasegroups))
{
    $phrasegroups = array();
} 


8- إحفظ الملف وقم برفعه.

-----------------------------------------------------------------------




أما لو كانت نسخة منتداك من الإصدار الجديد لـ vbulletin 3.5.x فاتبع التالي:
1- افتح ملف global.php الموجود في مجلد لوحة تحكم المشرف العام admincp .

2- إبحث عن التالي:

كود PHP:

if (!isset($phrasegroups))
{
    $phrasegroups = array();
}
$phrasegroups[] = 'cpglobal';

if (!isset($specialtemplates))
{
    $specialtemplates = array();
} 


3- استبدله بالتالي:

كود PHP:

if (!isset($phrasegroups) OR is_string($phrasegroups))
{
    $phrasegroups = array();
}
$phrasegroups[] = 'cpglobal';

if (!isset($specialtemplates) OR is_string($specialtemplates))
{
    $specialtemplates = array();
} 


4- إحفظ الملف وقم برفعه .

5- إفتح ملف global.php الموجود في مجلد لوحة تحكم المشرفين modcp

6- إبحث عن التالي:

كود PHP:

if (!isset($phrasegroups))
{
    $phrasegroups = array();
}
$phrasegroups[] = 'cpglobal';

if (!isset($specialtemplates))
{
    $specialtemplates = array();
} 


7- استبدله بالتالي:

كود PHP:

if (!isset($phrasegroups) OR is_string($phrasegroups))
{
    $phrasegroups = array();
}
$phrasegroups[] = 'cpglobal';

if (!isset($specialtemplates) OR is_string($specialtemplates))
{
    $specialtemplates = array();
} 


8- أحفظ الملف وقم برفعه .

(انتهى)

موفقين

[صقور العز]

الله يرفع قدرك يا شيخ

و يجزاك خيراً

[النعيمي]

وعليكم السلام ورحمة الله
تسلم اخوي العندليب وجاري الترقيع ..

[UAE]

جزاك الله خيراً أخي الفاضل
بارك الله فيك

[شاهين]

بارك الله فيك اخي الفاضل

[Renegade]

مالقيت اي شي من الي قلته !
في النسخه 3.0.9

[الرائع]

العندليب

الله يكثر من امثالك ويجعل والديك في الجنة

[العندليب]

العفو يا اخواني وكل سنه وانتم طيبين

الاخ Renegade
انت وين كنت تدور !؟!؟!
انا اقول vbulletin ما قلت phpBB

[إحساس رسام]

تسلم أخي العندليب وجزاك الله الف خير

والله يوفقك دنيا وآخره يارب

[Renegade]

كان فيه خطأ في عيني
كنت اتحرا الملف الموجود في في روت مجلد الفي بي
ما انتبهت انك تقصد الي في مجلد الادمن

اسفين يا عندليب

[NOOOOR]

الله يبارك فيك تم الترقيع

[gg4gg.com]

اخي العندليب
تم الترقيع بس لما ادخل على لوحة التحكم شوف ايه اللي يظهر

[العندليب]

شكرا يا أخوان

وبالنسبه لحالتك يا أخ gg4gg.com
فهذا يدل على إنك جبت العيد في التعديل

إرفق ملفك وسأريك وين أخطيت

تحياتي لك

[SilverBoy]

مشكور أستاذي وأخي العندليب، تم الترقيع

[L R X]

كـ العاده مبدع يا العندليب
الله يعطيك العافيه
ماتدري وش صار على الامن العربي