تم اكتشاف ثغرة خطيرة فى منتديات vb3
ثغرة الرسائل الخاصة
الاصدارت المصابة هى 3.03, 3.0.4 ,3.0.5 3.0.6,3.0.7
للتأكد من وجود الثغرة اتبع الاتي:
قم بكتابة رسالة جديدة و ضع اسم المستلم و العنوان و في المضمون ضع الكود التالي:
كود:
<Script>javascript:alert(document.cookie);</Script>
و اعمل مشاهدة و شووف اللي يظهر لك,, :nice:
ترقيع الثغرة:
ترقيع الثغرة
1- تغيير بملف private.php
ابحث عن
كود:
$pm['title'] = trim($pm['title']);
استبدلها بى
كود:
$pm['title'] = trim(xss_clean($pm['title']));
وشكرا