ثغره بملف vBulletin 3.0.X init.php SQL Injection

تقليص
X
 
  • تصفية - فلترة
  • الوقت
  • عرض
إلغاء تحديد الكل
مشاركات جديدة

  • ثغره بملف vBulletin 3.0.X init.php SQL Injection

    الثغره موجوده في ملف init.php وتحديداً في سطر 542 وهي ثغرة SQL Injection
    ويتم نجاح هذه الثغره إذا كانت خاصية magic_quotes_gpc معطله OFF داخل الـ PHP .
    التـــرقـــيـــع :
    توجد طريقتين
    الأولى :
    إضافة السطر التالي في ملف .htaccess
    php_value magic_quotes_gpc 1
    الثاني/ بتعديل ملف init.php .
    قم بالبحث عن
    كود:
    tastoretemp = $DB_site->query("
    SELECT title, data
    FROM " . TABLE_PREFIX . "datastore
    WHERE title IN ('" . implode("', '", $specialtemplates) . "')
    ");
    unset($specials, $specialtemplates);
    واستبداله بالتالي
    كود:
    s_array($specialtemplates))
    exit;
    $specialtemplate = array();
    foreach ($specialtemplates AS $arrykey => $arryval)
    {
    $specialtemplate[] = addslashes($specialtemplates["$arrykey"]);
    }
    $datastoretemp = $DB_site->query("
    SELECT title, data
    FROM " . TABLE_PREFIX . "datastore
    WHERE title IN ('" . implode("', '", $specialtemplate) . "')
    ");
    unset($specials, $specialtemplates, $specialtemplate);

  • #2
    شكرا على التنبيه يا غالى

    تعليق


    • #3
      لاشكرا على واجب استاذى

      تعليق

      يعمل...
      X