بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاته
تحية طيبة لجميع الاعضاء الكرام
صدر ترقيع أمني هام جدا من شركة vBulletin
للنسخ : 3.8.4 - 3.7.6 - 3.6.12
هو ترقيع لثغرة xss وهي تجيز للمخترق الحصول على معلومات التسجيل والدخول للعضو
بالنسبة للترقيع
يتم تحميل ثلاث ملفات بالنسبة للذين يملكون ترخيص من إدارة الباتشات في منطقة العميل هنا
http://members.vbulletin.com/patches.php
طريقة التركيب
تستبدل الملفات الثلاثة
class_dm.php
class_dm_user.php
version_vbulletin.php
مع مثيلاتها في مجلد includes وتوافق على الاستبدال
الذين لايملكون ترخيص يطبقون التالي :
افتح ملف class_dm.php على هذا المسار
includes/class_dm.php
من داخل الملف ابحث عن :
كود:
function verify_link(&$link)
استبدله بـ
كود:
function verify_link(&$link, $strict = false)
في نفس الملف ابحث عن :
كود:
else if (!preg_match('#^[a-z0-9]+://#si', $link))
{
// link doesn't match the http://-style format in the beginning -- possible attempted exploit
return false;
}
أضف أسفله التالي :
كود:
else if ($strict && !preg_match('#^(http|https)://#si', $link))
{
// link that doesn't start with http:// or https:// should not be allowed in certain places (IE: profile homepage)
return false;
}
واحفظ
الان افتح ملف class_dm_user.php
على هذا المسار
includes/class_dm_user.php
من داخل الملف ابحث عن :
كود:
return (empty($homepage)) ? true : $this->verify_link($homepage);
استبدله بـ
كود:
return (empty($homepage)) ? true : $this->verify_link($homepage, true);
واحفظ الملف
الان الترقيع الاخير وهو فقط لمعرفة اي نسخة تستخدم في المنتدى
افتح ملف version_vbulletin.php
الموجود على هذا المسار
includes/version_vbulletin.php
استبدل محتواه كاملا بالتالي:
كود:
<?php
define('FILE_VERSION_VBULLETIN', '3.8.4 Patch Level 1');
?>
وتقبلوا تحياتي
أخوكم المـ،،،ـافـر
مواقع النشر (المفضلة)