Ny vulnerability ao amin'ny MyBB izay ahafahanao misambotra ny fifehezana ny forum

Ao amin'ny motera hamoronana forum an-tranonkala MyBB maro fahalementsika, mamela anao handamina fanafihana maromaro amin'ny fanatanterahana ny code PHP tsy misy dikany amin'ny mpizara. Olana raikitra amin'ny famoahana MyBB 1.8.21.

Ny vulnerability voalohany dia hita ao amin'ny maody amin'ny famoahana sy fandefasana hafatra manokana, ary mamela ny fanoloana ny code JavaScript (XSS), izay hotanterahina ao amin'ny navigateur rehefa mijery publication na hafatra voaray. Ny fanoloana JavaScript dia azo atao noho ny fiovam-po diso ny BBCodes napetraka ho HTML. Indrindra indrindra, ny tag
Β«

ary rehefa manodina BBCode "" dia hovana ho marika

β€Ήiframe src=Β»youtube.com/xyz[url]http://onload=evilCode()[/url]Β»β€Ίβ€Ή/iframeβ€Ί

, ary taorian'ny fanodinana ny BBCodes sisa tao

β€Ήiframe src=Β»youtube.com/xyzβ€Ήa href=Β»http://onload=evilCode()Β»β€Ί..Β»β€Ίβ€Ή/iframeβ€Ί

Noho izany, ny teny indroa ao amin'ny 'href="' dia manidy ny toetra "src" ary ny onLoad dia karakaraina ao anatin'ny tontolon'ny iframe.

Ny vulnerability faharoa dia mamela, raha manana zon'ny mpitantana forum ianao, mba hitahiry script PHP ao amin'ny rafitry ny fisie an-tranonkala ary handamina ny famonoana azy. Ny olana dia ao amin'ny kaody fitantanana style ho an'ny lohahevitra mavitrika, izay mamela ny famoronana CSS vaovao. Ny rakitra toy izany dia voatahiry miaraka amin'ny fanitarana ".css", fa ny haben'ny saha ao amin'ny tahiry miaraka amin'ny anaran'ny rakitra dia voafetra ho 30 litera. Noho izany, azonao atao ny manonona ny rakitra "26characters.php.css". Rehefa manoratra amin'ny angon-drakitra dia ho tapaka ny tarehintsoratra fanampiny ary ho voatahiry amin'ny farany ny anarana hoe β€œ26characters.php”. Avy eo, amin'ny alΓ lan'ny tontonana admin forum dia afaka mamorona fomba vaovao ianao ary hosoratana amin'ny lahatahiry "cache" miaraka amin'ny fanitarana php ny rakitra.

Mba hanatanterahana fanafihana dia afaka mandefa hafatra novolavolaina manokana amin'ny mpitantana ny forum ny mpanafika na mamoaka hafatra mitovy amin'izany ao amin'ny forum. Rehefa mijery ity hafatra ity amin'ny navigateur ho ampahany amin'ny fotoam-pivoriana amin'izao fotoana izao ao amin'ny forum ary miaraka amin'ny zon'ny mpampiasa mijery ilay hafatra, ny code JavaScript nofaritan'ny mpanafika dia hovonoina. Raha hitan'ny administratera ny hafatra, dia vulnerable faharoa no araraotina hanatanterahana ny kaody PHP ao anatin'ny sehatry ny fivoriana manokana.

Source: opennet.ru

Mividiana fampiantranoana azo antoka ho an'ny tranokala misy fiarovana DDoS, mpizara VPS VDS πŸ”₯ Mividiana fampiantranoana tranonkala azo antoka miaraka amin'ny fiarovana DDoS, mpizara VPS VDS | ProHoster