MyBB.support, le portail francophone de MyBB
Avertissement : vulnérabilité XSS à corriger - Version imprimable

+- MyBB.support, le portail francophone de MyBB (https://mybb.fr)
+-- Forum : MyBB.fr (https://mybb.fr/forum-1.html)
+--- Forum : Téléchargements (https://mybb.fr/forum-2.html)
+---- Forum : MyBB 1.6.x (https://mybb.fr/forum-49.html)
+---- Sujet : Avertissement : vulnérabilité XSS à corriger (/thread-6985.html)



Avertissement : vulnérabilité XSS à corriger - spyto - 30-07-2014

Errata : J'ai modifié ce post, il ne fallait pas rajouter un bloc, mais le remplacer.
Rien à faire si vous utilisez 1.6.13 ou 1.6.14 !


Cette vulnérabilité XSS concerne toutes les versions de MyBB antérieures à 1.6.13. Mybb 1.8 beta 2 est aussi concerné.
Les versions 1.6.13 et 1.6.14 ont été corrigées.


Zeatlan nous a rapporté un problème de vulnérabilité XSS.

Dans l'immédiat, pour corriger cette faille, ouvrez le fichier 'search.php' à la racine du forum.
Chercher le bloc :
Code PHP :
    $search_data = array(
        
"keywords" => $mybb->input['keywords'],
        
"author" => $mybb->input['author'],
        
"postthread" => $mybb->input['postthread'],
        
"matchusername" => $mybb->input['matchusername'],
        
"postdate" => $mybb->input['postdate'],
        
"pddir" => $mybb->input['pddir'],
        
"forums" => $mybb->input['forums'],
        
"findthreadst" => $mybb->input['findthreadst'],
        
"numreplies" => $mybb->input['numreplies'],
        
"threadprefix" => $mybb->input['threadprefix']
    ); 
remplacez-le par :
Code PHP :
// Exdiogene for safety against XSS sql injection...
$keywords htmlspecialchars($mybb->input['keywords']);
$keywords strip_tags($keywords);

    
$search_data = array(
        
"keywords" => $keywords,
        
"author" => $mybb->input['author'],
        
"postthread" => $mybb->input['postthread'],
        
"matchusername" => $mybb->input['matchusername'],
        
"postdate" => $mybb->input['postdate'],
        
"pddir" => $mybb->input['pddir'],
        
"forums" => $mybb->input['forums'],
        
"findthreadst" => $mybb->input['findthreadst'],
        
"numreplies" => $mybb->input['numreplies'],
        
"threadprefix" => $mybb->input['threadprefix']
    ); 

Le numéro de ligne varie selon la version de mybb.

Nous signalons la faille sur mybb.com mais dans l'attente d'un correctif de leur part, vous pouvez utiliser la parade de exdiogene si vous utilisez MyBB jusqu'à 1.6.12 compris.


 Utilitaire de traduction fourni par Regentronique