ثغرة Xss في كل نسخ الجيل 3.6 - الترقيع في الداخل

[لوشا]

تم اليوم التبليغ عن ثغرة جديدة في vBulletin 3.6.x

الثغرة سيئة لأنها تسرق الكوكيز ليس من المنتدى بل من لوحة التحكم وهذا يعني أنه إذا نجح المخترق في تطبيق الثغرة على منتداك فإنه سيتمكن من الحصول على الكوكيز الخاص بالـ cpsession وبالتالي لا يدخل إلى المنتدى باسمك وحسب بل يدخل إلى لوحة التحكم أيضاً

قمت بمراسلة الشركة ولكنهم تصرفوا بغباء لا أدري لماذا وطلبوا مني أن أروي لهم ماذا فعلت خطوة بخطوة مع أن الموضوع واضح ويحتاج إلى التجربة فقط.

على كل حال الحل هو كالتالي:

في الملف admincp/index.php

استبدل السطر التالي:

كود PHP:

$vbulletin->input->clean_array_gpc('r', array('navprefs' => TYPE_STR)); 


بما يلي:

كود PHP:

$vbulletin->input->clean_array_gpc('r', array('navprefs' => TYPE_NOHTML)); 


أيضاً ابحث عن:

كود PHP:

    $vbulletin->input->clean_array_gpc('r', array(
        'prefs'     => TYPE_STR,
        'dowhat'    => TYPE_STR,
        'id'        => TYPE_INT
    )); 


واستبدله بـ:

كود PHP:

    $vbulletin->input->clean_array_gpc('r', array(
        'prefs'     => TYPE_NOHTML,
        'dowhat'    => TYPE_STR,
        'id'        => TYPE_INT
    )); 


والآن أنت بأمان حتى صدور النسخة ا لجديدة

مكتشف الثغرة هو
Author: insanity
E-mail: insanity[at]darkers.com.br
http://www.securityfocus.com/bid/21157

الترقيع من Milad
http://miladkawas.blogspot.com/2006/...vbulletin.html

منقول
سوالف

[المودة]

شكرا لك ... بارك الله فيك ... تحياتي .

[منتصف الليل]

سؤال ...

من هو اللي يقول هذا الكلام

الثغرة سيئة لأنها تسرق الكوكيز ليس من المنتدى بل من لوحة التحكم وهذا يعني أنه إذا نجح المخترق في

ومن هو اللي راسل الشركة

قمت بمراسلة الشركة ولكنهم تصرفوا بغباء لا أدري لماذا وطلبوا مني أن أروي لهم ماذا فعلت خطوة بخطوة

الشخص هذا insanity راسلته .. ورد علي بأنه غير صحيح لم يراسل الشركة وما كتبته هنا
http://www.securityfocus.com/bid/21157/exploit
ليس أكتشاف لثغرة . بل توقع لو أستخدم رابط مخادع في لوحة تحكم لمنتدى غير محمي من لوحة التحكم سي بنل .. بواسطة ملف htaccess

واذا كان تقصد اللي راسل الشركة هذا الشخص Milad .. أكيد عليه أن يثبت كيف يستطيع دخول لوحة التحكم عن سرقة الكوكيز على حد علمه

http://www.XXXXX.com/admincp/index.p...s&nxjs=x&xxefx

جرب الرابط اذا كنت تعرف كل الأوامر والكلمات فيه وكيف تستعمله على منتدى محمي بواسطة ملف htaccess

حتى لو معك أسم الأدمن والرقم السري لن تستطيع الوصول الى لوحة التحكم بسبب لوحة الحماية htaccess

ومثل ما قالت شركة الفي بي ..
[align=left]I was able to reproduce it .
You have to be logged as an admin to make this work. If you're not logged, the forum will bring you his nice "please login" prompt.[/align]

نهاية .. التعديل او الترقيع كما أسماه Milad ... ماله علاقة بالرابط .. ولا له علاقة بالكوكيز .. مجرد تغير كلمات

كلمة STR أستبدلها مع NOHTML في السطر الأول .. ثم أعاد الكلمتين الى وضعهم الصحيح في السطر الثاني او التعديل الثاني

ثانياً كلمة NOHTML لا تمنع سرقة الكوكيز .. لو قلنا بيسرق أحد ما الكوكيز ..

عموماً أنا سألت شركة الفي بي .. وأعطاني Steve Machol مدير الدعم في الشركة الرابط كامل .. وقال جرب على منتداك . فجربت وظهرت لي لوحة الحماية تطالبني بالأسم والرقم السري .. .. رغم وجود أسم الأدمن والرقم السري بحوزتي ..

تحياتي

[عالم العشق]

رحم الله والديك وشكرا لك ... بارك الله فيك ...

[بلبل]

انا طبقت ما في الشرح والسؤال هو هل يضر ام لا