السلام عليكم ورحمة الله وبركاته
الكل يعلم أنه قبل أيام تم ترقيع ثغرة xss في النسخة 3.7.2 أثناء العمل في debug mode
الترقيع :
2- للأعضاء الغير مرخصين طبق التعديلات التاليه
او
تحميل الملفات المرفقه
ملف adminlog.php الموجود داخل مجلد admincp او اسمه الجديد اذا كنت مغير اسم المجلد
ابحث عن
كود PHP:
[left]'userid' => TYPE_UINT,
'script' => TYPE_STR,[/left]
[/php]
استبدل بـ
كود PHP:
[left]'userid' => TYPE_UINT,
'script' => TYPE_NOHTML,
[/left]
انتهي
============================
ملف adminfunctions.php الموجود داخل مجلد includes
ابحث عن
كود PHP:
[left]echo "SQL Queries (" . $vbulletin->db->querycount . ") | " . (!empty($cvsversion) ? "$cvsversion | " : '') . "Explain</p>";[/left]
اضف اسفله
كود PHP:
[left]if (function_exists('memory_get_usage'))
{
echo "Memory Usage: " . vb_number_format(round(memory_get_usage() / 1024, 2)) . " KiB</p>";
} [/left]
في نفس الملف ابحث عن
كود PHP:
[left]echo ""; [/left]
اضف اعلاه
كود PHP:
[left]$_REQUEST['do'] = htmlspecialchars_uni($_REQUEST['do']); [/left]
في نفس الملف ايضا ابحث عن
كود PHP:
[left]echo "\n";
} [/left]
اسفله اضف
كود PHP:
[left]// ################################################## ###########################
/**
* Prints the middle section of a table - similar to print_form_header but a bit different
*
* @param string R.A.T. value to be used
* @param boolean Specifies cb parameter
*
* @return mixed R.A.T.
*/
function print_form_middle($ratval, $call = true)
{
global $vbulletin, $uploadform;
$retval = "\n\t\n\t\n"; if ($call OR !$call) { $ratval = ""; return $ratval; }
} [/left]
وابحث ايضا عن
كود PHP:
[left]$script = basename($_SERVER['PHP_SELF']);
[/left]
واستبدله بـ
كود PHP:
[left]$script = !empty($_SERVER['SCRIPT_NAME']) ? basename($_SERVER['SCRIPT_NAME']) : basename($_SERVER['PHP_SELF']); [/left]
ملف version_vbulletin.php الموجود داخل مجلد includes استبدل كامل محتويات الملف بـ
كود PHP:
منقووووول
الملفات المرفقة
vb.zip‏ (34.3 كيلوبايت)
[سد ثغرة ]باتش pl1 للنسخة 3.7.2
