1. IMPORTANT : Nouvelles mesures de sécurité - 2. Règles pour obtenir de l'aide dans les forums de support - 3. Restrictions des droits pour le groupe "Support suspendu"

Il est obligatoire de respecter les Règles de MyBB.fr : Version abrégée ou Version complète pour obtenir du support sur nos forums.

Les membres ayant un site/forum contrevenant aux règles de MyBB.support seront placés dans le groupe "Support suspendu" et ne bénéficieront plus du support du staff. Nous recommandons aux autres membres d'agir de même. Il ne s'agit pas d'un bannissement, le membre retrouvera son statut "normal" dès que sa situation sera conforme aux règles.

Nouveau : un Wiki en français : plus de détails.
Avant de soumettre votre problème, consultez-le, ainsi que la FAQ, sans oublier le moteur de recherche interne.


Note de ce sujet :
  • Moyenne : 5 (1 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Avertissement : vulnérabilité XSS à corriger
Mots-clés » avertissement, vulnérabilité, xss, corriger
30-07-2014, 23:31, (Modification du message : 01-08-2014, 19:27 par spyto.)
#1
Avertissement : vulnérabilité XSS à corriger
Errata : J'ai modifié ce post, il ne fallait pas rajouter un bloc, mais le remplacer.
Rien à faire si vous utilisez 1.6.13 ou 1.6.14 !


Cette vulnérabilité XSS concerne toutes les versions de MyBB antérieures à 1.6.13. Mybb 1.8 beta 2 est aussi concerné.
Les versions 1.6.13 et 1.6.14 ont été corrigées.


Zeatlan nous a rapporté un problème de vulnérabilité XSS.

Dans l'immédiat, pour corriger cette faille, ouvrez le fichier 'search.php' à la racine du forum.
Chercher le bloc :
Code PHP :
    $search_data = array(
        
"keywords" => $mybb->input['keywords'],
        
"author" => $mybb->input['author'],
        
"postthread" => $mybb->input['postthread'],
        
"matchusername" => $mybb->input['matchusername'],
        
"postdate" => $mybb->input['postdate'],
        
"pddir" => $mybb->input['pddir'],
        
"forums" => $mybb->input['forums'],
        
"findthreadst" => $mybb->input['findthreadst'],
        
"numreplies" => $mybb->input['numreplies'],
        
"threadprefix" => $mybb->input['threadprefix']
    ); 
remplacez-le par :
Code PHP :
// Exdiogene for safety against XSS sql injection...
$keywords htmlspecialchars($mybb->input['keywords']);
$keywords strip_tags($keywords);

    
$search_data = array(
        
"keywords" => $keywords,
        
"author" => $mybb->input['author'],
        
"postthread" => $mybb->input['postthread'],
        
"matchusername" => $mybb->input['matchusername'],
        
"postdate" => $mybb->input['postdate'],
        
"pddir" => $mybb->input['pddir'],
        
"forums" => $mybb->input['forums'],
        
"findthreadst" => $mybb->input['findthreadst'],
        
"numreplies" => $mybb->input['numreplies'],
        
"threadprefix" => $mybb->input['threadprefix']
    ); 

Le numéro de ligne varie selon la version de mybb.

Nous signalons la faille sur mybb.com mais dans l'attente d'un correctif de leur part, vous pouvez utiliser la parade de exdiogene si vous utilisez MyBB jusqu'à 1.6.12 compris.

[Image: spyto.png]
~~ AUCUNE AIDE Par MP, MAIL OU MSN !!!~~
Répondre




Utilisateur(s) parcourant ce sujet : 1 visiteur(s)

Contact | MyBB.support | Retourner en haut | Retourner au contenu | Version bas-débit (Archivé) | Syndication RSS
 Utilitaire de traduction fourni par Regentronique