PDA

Orijinalini görmek için tıklayınız : MyBB 1.6.12 SQL İnjection Bug - Sosyalist Hacker



deniz
12.Haziran.2014, 22:00
Merhaba,

Bir abimizin istegi üzerine foruma katıldım ve güvenlik konuları ile sizi aydınlatıcagım.. Bu açık 1.6.12 ve altı sürümlerde mevcttur. 1.6.13 sürümde fixlenmiştir.

Komutumuzu alttaki gibi

Kod:

404 Not Found (https://www.sitemiz.com/search.php?action=results&sid)[0]=9afaea732cb32f06fa34b1888bd237e2&sortby=&order=


SQL Bug hatası gelir ise hemen search.php açalım bulun ;


Alıntı:$sid = $db->escape_string($mybb->input['sid']);
Bununla değiştirin

Kod:

if(is_array($mybb->input['sid']))
$sid = $db->escape_string(implode($mybb->input['sid']));
else
$sid = $db->escape_string($mybb->input['sid']);



Kaynak (https://www.webmasterlord.net/2859-mybb-1-6-12-sql-injection-bug-sosyalist-hacker.html)