السلام عليكم,,
لقد تم اكتشاف ثغرة خطيرة فى منتديات vb3
ثغرة الرسائل الخاصة
الاصدارت المصابة هى 3.03, 3.0.4 ,3.0.5 3.0.6,3.0.7
للتأكد من وجود الثغرة اتبع الاتي:
قم بكتابة رسالة جديدة و ضع اسم المستلم و العنوان و في المضمون ضع الكود التالي:
و اعمل مشاهدة و شووف اللي يظهر لك,, :nice:كود PHP:
<Script>javascript:alert(document.cookie);</Script>
ترقيع الثغرة:
ترقيع الثغرة
1- تغيير بملف private.php
ابحث عن
استبدلها بىكود PHP:
$pm['title'] = trim($pm['title']);
كود PHP:
$pm['title'] = trim(xss_clean($pm['title']));
تحية طيبة,, المصدر ميعادي ,,