بسم الله الرحمن الرحيم
لقد تم اكتشاف ثغرة خطيرة فى منتديات vb3
ثغرة الرسائل الخاصة
الاصدارت المصابة هى 3.03و3.0.4 ,3.0.5
لتجربة الثغرة قبل قفلها والتاكد منها
قم بإرسال رسالة جديدة وأكتب الموضوع وإسم المرسل وقم بوضع الكود هذا في العنوان وإضغط مشاهدة
<______>java______:_____(________.((@))((@))((@) )( (@))((@))((@)));</______>
ترقيع الثغرة
1- تغيير بملف private.php
ابحث عن
كود PHP:
$pm['title'] = trim($pm['title']);
استبدله بـ
كود PHP:
$pm['title'] = trim(xss_clean($pm['title']));
وشكرا
