1. IMPORTANT : Nouvelles mesures de sécurité - 2. Règles pour obtenir de l'aide dans les forums de support - 3. Restrictions des droits pour le groupe "Support suspendu"

Il est obligatoire de respecter les Règles de MyBB.fr : Version abrégée ou Version complète pour obtenir du support sur nos forums.

Les membres ayant un site/forum contrevenant aux règles de MyBB.support seront placés dans le groupe "Support suspendu" et ne bénéficieront plus du support du staff. Nous recommandons aux autres membres d'agir de même. Il ne s'agit pas d'un bannissement, le membre retrouvera son statut "normal" dès que sa situation sera conforme aux règles.

Nouveau : un Wiki en français : plus de détails.
Avant de soumettre votre problème, consultez-le, ainsi que la FAQ, sans oublier le moteur de recherche interne.


Thread Rating:
  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Avertissement : vulnérabilité XSS à corriger
Tags » avertissement, vulnérabilité, xss, corriger
30-07-2014, 23:31, (This post was last modified: 01-08-2014, 19:27 by spyto.)
#1
Avertissement : vulnérabilité XSS à corriger
Errata : J'ai modifié ce post, il ne fallait pas rajouter un bloc, mais le remplacer.
Rien à faire si vous utilisez 1.6.13 ou 1.6.14 !


Cette vulnérabilité XSS concerne toutes les versions de MyBB antérieures à 1.6.13. Mybb 1.8 beta 2 est aussi concerné.
Les versions 1.6.13 et 1.6.14 ont été corrigées.


Zeatlan nous a rapporté un problème de vulnérabilité XSS.

Dans l'immédiat, pour corriger cette faille, ouvrez le fichier 'search.php' à la racine du forum.
Chercher le bloc :
PHP Code:
    $search_data = array(
        
"keywords" => $mybb->input['keywords'],
        
"author" => $mybb->input['author'],
        
"postthread" => $mybb->input['postthread'],
        
"matchusername" => $mybb->input['matchusername'],
        
"postdate" => $mybb->input['postdate'],
        
"pddir" => $mybb->input['pddir'],
        
"forums" => $mybb->input['forums'],
        
"findthreadst" => $mybb->input['findthreadst'],
        
"numreplies" => $mybb->input['numreplies'],
        
"threadprefix" => $mybb->input['threadprefix']
    ); 
remplacez-le par :
PHP Code:
// Exdiogene for safety against XSS sql injection...
$keywords htmlspecialchars($mybb->input['keywords']);
$keywords strip_tags($keywords);

    
$search_data = array(
        
"keywords" => $keywords,
        
"author" => $mybb->input['author'],
        
"postthread" => $mybb->input['postthread'],
        
"matchusername" => $mybb->input['matchusername'],
        
"postdate" => $mybb->input['postdate'],
        
"pddir" => $mybb->input['pddir'],
        
"forums" => $mybb->input['forums'],
        
"findthreadst" => $mybb->input['findthreadst'],
        
"numreplies" => $mybb->input['numreplies'],
        
"threadprefix" => $mybb->input['threadprefix']
    ); 

Le numéro de ligne varie selon la version de mybb.

Nous signalons la faille sur mybb.com mais dans l'attente d'un correctif de leur part, vous pouvez utiliser la parade de exdiogene si vous utilisez MyBB jusqu'à 1.6.12 compris.

[Image: spyto.png]
~~ AUCUNE AIDE Par MP, MAIL OU MSN !!!~~
Reply




Users browsing this thread: 1 Guest(s)

Contact Us | MyBB.support | Return to Top | Return to Content | Lite (Archive) Mode | RSS Syndication
 Translation utility provided by Regentronique