ترقيع ثغرة vBSEO 3.6.0 PHP Injection

WebCraker

العبد الفقير إلى الله
طاقم الإدارة
9 مارس 2008
5,645
50
48
Egypt
support-ar.com
السلام عليكم ورحمة الله

بعضنا سمع عن الثغرة الموجودة بـ vBSEO 3.6.0 والتى تتيح حقن كود php

vBSEO <= 3.6.0 "proc_deutf()" Remote PHP Code Injection Exploit

وإليكم الحل بكل بساطة :

إذهب إلى ملفات موقعك عن طريق الاف تى بى FTP وافتح الملف التالى

كود:
http://example.com/vb/vbseo/includes/functions_vbseocp_abstract.php

ابحث عن الكود التالى


PHP:
public static function proc_deutf($ptxt, $tocharset)
{
$ptxt = preg_replace('#\'([^\']*)(\'\s*\=\>)#mie', '"\'".(($_s = iconv("UTF-8", \''.$tocharset.'\', "$1")) ? $_s : "$1").stripslashes(\'$2\')', $ptxt);
return $ptxt;
}

استبدله بالكود التالى

PHP:
public static function proc_deutf($ptxt, $tocharset)
{
$ptxt = preg_replace('#\'([^\']*)(\'\s*\=\>)#mie', '"\'".(($_s =  iconv("UTF-8", \''.$tocharset.'\', \'$1\')) ? $_s :  \'$1\').stripslashes(\'$2\')', $ptxt);
return $ptxt;
}

الحل يصلح للاصدارات السابقة

هذا والله ولى التوفيق :sly:

 

Abdul Rahim

[ أعضاء فى القلب ]
30 مايو 2011
3,386
23
0
وعليكم السلام

ألف شكر لك أخي الكريم
 

Injection

عضو جديد
15 يوليو 2012
5
0
0
34
يعطيك الف عافيه حبيبي كرآكر . .
ولي اكتشف ثغره هو Mr.Dangers . .
ياليته لو مانزلها بس , وشكرآ لك ^_^