Se connecter

Yannis · 05-02-2012, 13:35,

Bonjours à tous,

Je cherchais sur internet si y aurais des failles sur Mybb 1.6.5 et j'ai trouvé ceci: http://tlking.wordpress.com/2012/01/07/mybb-1-6-5-full-path-disclosure/

Si j'ai bien compris il récupère les cookies et derrière il peux modifier l'index.php.

Comment résoudre le problème ?

Merci.

cfillion · (Modification du message : 05-02-2012, 21:51 par cfillion.)

Cet exploit permet de récupérer le chemin d'installation de MyBB en générant une erreur fatale PHP.

Citation :Fatal error: Cannot use object of type __PHP_Incomplete_Class as array in /home/frmybb/public_html/index.php on line 304

Je ne vois pas trop l’intérêt d'avoir cette information.

Mais il est possible de faire bien pire d'après ses articles...
http://tlking.wordpress.com/2011/10/27/la-faille-unserialize-de-php/

Pour résoudre ce problème, il suffit de trouver ce code dans le fichier index.php :

Code PHP :

if($mybb->user['uid'] == 0)
{
// Build a forum cache.
$query = $db->query("
SELECT *
FROM ".TABLE_PREFIX."forums
WHERE active != 0
ORDER BY pid, disporder
");

$forumsread = unserialize($mybb->cookies['mybb']['forumread']);
} 

Et d'ajouter après la ligne du $forumsread :

Code PHP :

if(!is_array($forumsread))
   exit('Action interdite.'); 

Ça ne devrait corriger le problème de l'erreur PHP.

Yannis · 07-02-2012, 17:25,

Ok merci beaucoup et comment corrigé ceci:

cfillion a écrit :Mais il est possible de faire bien pire d'après ses articles...
http://tlking.wordpress.com/2011/10/27/l...ze-de-php/

cfillion · (Modification du message : 09-02-2012, 18:24 par cfillion.)

Je ne pense pas quelle s'applique vraiment à MyBB.

Se connecter
Utilisateur :
Mot de passe :	Mot de passe oublié ?
	Se rappeler