ثغرة موجودة في مكتبة الجوال الرجاء الدخول

[ac4p.com]

السلام عليكم ورحمة الله وبركاته

تم تنبيهي من أحد الأخوان جزاه الله كل خير عن ثغرة موجودة في مكتبة الجوال
التي قمت بتنزيلها مجاناً .

والحل يجب على كل من قام بتركيب مكتبة الجوال حذف ملف myhtml.php

وتغير اسم مجلد الادمن بدلاً من cp إلى أي اسم والأفضل حمايته بجدار ناري
مع تغيير كلمة المرور واسم الادمن .

ثانياً فتح ملف maillist.php
والتوجة للسطر 94

كود PHP:

$errmsg .= "البريد غير صحيح الرجاء التأكد منه $umail .<br>"; 


وجعله بهذا الشكل

كود PHP:

 $umail=htmlentities($umail); 
$errmsg .= "البريد غير صحيح الرجاء التأكد منه $umail .<br>"; 


لذلك وجب التنويه ولكم جزيل الشكر

[GSM-Egypt.com]

شكرا لك على التنبيه
وجزاك الله كل خير.

[mjh00l]

الله يجزاك خير ..
مشكور على تنبيهك ..

[الجود هوست]

السلام عليكم

شكلها تلثغرة انتشرت لان موقع من شوي مخترق ومسحت جميع محتوياتة

يالله ان شاء الله نسد لثغرة بعد مانرجع الموقع

ابو محمد المتى تكون متواجد على المسنجر لان بكلمك عن بعض التصويرات وتعديلات كاملة في موقعي

تحياااااتي

[الدليل]

الله يرضى عليك يا بو محمد


شكرا لك على التحذير

[الإمبراطور وحيد]

بلتوفيق والف شكر لك اخوي ابو محمد


سلام لك

[ThE Spirit]

الحمدلله انك اكتشفتها ..


توني نبهت عنها في موضوع اخر لاحد من الاخوان تم اختراق موقعه عن طريقها ..

و ياريت الكل ينتبه من هالملف myhtml.php

لان عن طريق الثغره يتم معرفه بيانات القاعده و كذلك بيانات الدخول للوحه بدون تشفير امامه تظهر ..

يعني directory traversal exploit

و لو ما كان الاخ محمد محدد التعامل مع ملفات الهتمل فقط من قبل هالملف ..
كان بالامكان استغلالها و رفع شل ..

الثغره تصل خطورتها .. انه بالامكان قراءة اي ملف على موقعك ..
حتى كونفيج المنتدى اذا كان عندك منتدى ..


و الثغره صار لها 3 اسابيع او اكثر ..
و لكن كانت برايفت >_<

مدري من نشرها !!


سلام

[نيشان كوم]

ماقصرت ابو محمد


ابو محمد صار لي يومين مرسل لك رساله على ايميل المبيعات اللي في موقعك اتمنى انها وصلتك

[ac4p.com]

أشكركم على تواجدكم والأمر مهم جدا لذلك ارجو من الجميع
تنبيه من يعرفون من مواقع تستخدم مكتبة الجوال بضرورة حذف الملف myhtml.php ولن يتأثر البرنامج بحذفه نهائياً .

الف شكر اخي الدليل والله يعطيك العافية

وكلام أخي الكريم ThE Spirit سليم وكنت أتمنى أن اعرف بالثغرة من قبل لكي يتم التنبيه مبكراً
ولكن إلى الان انتشارها خفيف ويعرفها عدد قليل فقط .

اخي الكريم الإمبراطور وحيد شكرا لك على تواجدك وجزاك الله خير.



أخي الكريم الجود هوست اعذرني على عدم دخولي في الوقت الحالي لكن بعد العيد تتيسر الأمور
ومايهمك .

أخي الكريم نيشان كوم اعذرني إذا تأخرت في الرد عليك ولكن سوف اطلع على الرسائل وسوف يتم الرد عليك بإذن الله تعالى .

[محمد بن عبدالعزيز بن سيف]

هلا ابو محمد

هل كل النسخ حتى المرخصة ولا بس المجانية ؟ اللي فيها الثغره


لاني دورت هالملف مالقيته ...موجود

[>> Medo Hard <<]

سلمت يميناك يا اخى

[الشامخ1]

اخي العزيز ابو محمد بعد إختراق موقعي كيف الحل الأن بارك الله فيك

http://77777777.net/

[GoST]

مشكوور اخوي على الترقيع

لكن انا عندي مشكلة بالسكربت ويا ليت تحلها لي بعد تركيب السكربت واعطاء التصاريح دخلت وطلع لي

كود:

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/****/public_html/mob/block.php on line 19

يا ريت الحل

[GAME^OVER]

اخي العزيز ابو محمد بعد إختراق موقعي كيف الحل الأن بارك الله فيك

http://77777777.net/

اخوى ادخل للسكربت وغير قالب الرئيسيه
لانه هو معدل عليه وواضع ما كتب فيه
وبعد ذلك عدل ما ذكره اخوى ابو محمد

[الشامخ1]

اخوى ادخل للسكربت وغير قالب الرئيسيه
لانه هو معدل عليه وواضع ما كتب فيه
وبعد ذلك عدل ما ذكره اخوى ابو محمد

الله يجزاك الف خير أخي الكريم فعلاً تم تغيير ما ذكرت والحمد لله رجعت الإبتسامة لأخي الصغير صاحب الموقع والمشرف عليه.

وتم التعديل حسب ما ذكر اخونا ابو محمد

ولكن السؤال الذي يطرح نفسه توقع ما هي المعلومات التي حصل عليها هذا الهاكر الله يسامحه ؟؟