::
::
نوع الثغره :
Remote SQL Injection Exploit
الملف المصاب:
inlinemod.php
الثغره يتم من خلالها حقن تعليمة sql لجلب معلومات حساسه من قاعدة البيانات إذا كان المستثمر للثغره أحد المشرفين أو المشرف العام بنفسه.
الترقيع (وهذا هو المهم ) :
1- إفتح ملف inlinemod.php
2- ابحث عن:
كود PHP:
[color=#0000bb]foreach ($postids AS $index => $postid)
{
if ($postids["$index"] != intval($postid))
{
unset($postids["$index"]);
}
}
[color:f59d=#0000bb:f59d]
3- إستبدله بـ:
كود PHP:
[color=#0000bb]foreach ($postids AS $index => $postid)
{
$postids["$index"]=(int)$postids["$index"];
}
[color:f59d=#0000bb:f59d]
4- إبحث عن:
كود PHP:
[color=#0000bb]foreach ($threadids AS $index => $threadid)
{
if ($threadids["$index"] != intval($threadid))
{
unset($threadids["$index"]);
}
}
[color:f59d=#0000bb:f59d]
5- إستبدله:
كود PHP:
[color=#0000bb]foreach ($threadids AS $index => $threadid)
{
$threadids["$index"]=(int)$threadids["$index"];
}
[color:f59d=#0000bb:f59d]
احترامي ’’
موضوع: ثغرة في منتديات الـ Vb 3.6.4 
السبت أبريل 07, 2007 3:11 am
