MyBB 1.6.12 - search.php SQL Injection

03.09.2014 00:08

Walkvery WM Aracı Kullanıcı

Üyelik 22.05.2013
Yaş/Cinsiyet 31 / E
Meslek Özel Güvenlik
Konum Tekirdağ

Ad Soyad A** A**
Mesajlar 239
Beğeniler 81 / 39
Ticaret 1, (%100)

1.6.12 ve alt sürümlerinde bulunan bir açıktır,bu güvenlik açığı ile tüm veritabanınızı elde edebilir 1.6.12 veya alt sürümleri kullanıyor iseniz güncelleyiniz. Güncelleme yapmak istemiyorsanız alttaki adımları uygulayın.

http://www.siteniz.com/search.php?action=results&sid[0]=9afaea732cb32f06fa34b1888bd237e2&sortby=&order=

Açığı kapatmak için search.php dosyasını açın ve alttaki kodu bulun:
if($mybb->input['action'] == "results")

Alttaki kod ile değiştirin:
if($mybb->input['action'] == "results" && ! is_array($mybb->input['sid']))

1 kişi bu mesajı beğendi.

19.11.2014 09:32

#2

AlfaOis www.GameOis.com Kullanıcı

Üyelik 22.05.2014
Yaş/Cinsiyet 34 / E
Meslek Bilgisayar Prog. / Webmaster
Konum İstanbul Avrupa

Ad Soyad Ü** G**
Mesajlar 843
Beğeniler 75 / 205
Ticaret 53, (%100)

Güzel bilgilendirme için teşekkürler.

Ek Olarak: Artı olarak daha fazla güvenlik önlemi almak isteyen arkadaşlar, config.php adını değiştirebilir, admin panel yolunud değiştirebilir yada admin panel girişine yeni şifre koyabilirler. Burada arkadaşın paylaşmış olduğu açığa artı olarak birde XSS açığı mevcuttur, ufak bir araştırmadan sonra hepsini düzenledim. Yapamayan arkadaşlar olursa mesaj göndersinler.

19.11.2014 20:45

#3

Medet WM Aracı Kullanıcı

Üyelik 30.10.2013
Yaş/Cinsiyet 31 / E
Meslek Öğrenci
Konum İstanbul Avrupa

Ad Soyad M** E**
Mesajlar 50
Beğeniler 19 / 3
Ticaret 0, (%0)

Merhaba,

Bu tür düzenlemelele uğraşmak yerine forumu MyBB son sümününe güncellemek en mantıklısı.

Saygılarımlai, iyi forumlar.

MyBBTurkey.Com » MyBB Türkiye Platformu

MyBB 1.6.12 - search.php SQL Injection

Üye Girişi Yap