مرجع پارسی MyBB

سلام

همونطور که چند روز پیش هم یکی از دوستان اعلام کردند باگ جدیدی در نسخه 1.6.12 مای بی بی پیدا شده این باگ از نوع باگ های XSS به اسم POST XSS هست که باهاش فایل search.php مای بی بی مورد حمله قرار میگیره !



برای رفع این باگ باید وارد پنل مدیریتی بشید و در قسمت پیکربندی Search System رو انتخاب کنید و Search Type رو از standard به Full text تغییر بدید

فعلا این راه برای رفع این باگ پیشنهاد شده با وجود این باگ احتمالا به زودی نسخه 1.6.13 هم منتشر خواهد شد فعلا اعلام نشده این باگ در نسخه های قبلی وجود داره یا نه ولی به نظر من بهتره این تنظیم رو انجام بدید

اگر اطلاعات بیشتری پیدا کردم که همینجا قرار میدم

منبع

بالا باش
دوستان این باگ رو جدی بگیرید خود xss به تنهایی خطر خیلی بالایی ندارد و تو درجه بندی جزو باگ های با خطر متوسط هست ولی این باگ قابل توسعه می باشد و میشه از طریق فایل search.php کارهایی مثل inject انجام داد که در این صورت خطر بسیار بالایی دارد

درود این بار اولی نیست که یکی از نسخه های MYBB آسیب پذیری XSS میده .

در رابطه با خطر باید بگیم بله خطرناکه چند هفته پیش از این آسیب پذیری با خبر شدیم .

با توجه به اینکه نرم افزار تحت وب آسیب پذیر انجمن ساز هست و کاربران و مدیران از مطالب بازدید میکنند خطر سرقت کوکی زیاد هست .

با استفاده از اون میشه کوکی های مدیر رو دزدید که در نهایت با Session مدیر کنترل مدیریت انجمن به دست هکر گرفته میشه .

قابل به ذکر هست این آسیب پذیری را بر روی یکی از سایتهای هکری داخلی تست کردیم و نتیجه مثبت داد . kh s t :d

راههای مقابله بزودی در تاپیک زیر اعلام میشه :

http://community.mybbiran.com/thread-13980.html