MyBB.support, le portail francophone de MyBB

Version complète : Avertissement : vulnérabilité XSS à corriger
Vous consultez actuellement la version basse qualité d’un document. Voir la version complète avec le bon formatage.
Errata : J'ai modifié ce post, il ne fallait pas rajouter un bloc, mais le remplacer.
Rien à faire si vous utilisez 1.6.13 ou 1.6.14 !


Cette vulnérabilité XSS concerne toutes les versions de MyBB antérieures à 1.6.13. Mybb 1.8 beta 2 est aussi concerné.
Les versions 1.6.13 et 1.6.14 ont été corrigées.


Zeatlan nous a rapporté un problème de vulnérabilité XSS.

Dans l'immédiat, pour corriger cette faille, ouvrez le fichier 'search.php' à la racine du forum.
Chercher le bloc :
Code PHP :
    $search_data = array(
        
"keywords" => $mybb->input['keywords'],
        
"author" => $mybb->input['author'],
        
"postthread" => $mybb->input['postthread'],
        
"matchusername" => $mybb->input['matchusername'],
        
"postdate" => $mybb->input['postdate'],
        
"pddir" => $mybb->input['pddir'],
        
"forums" => $mybb->input['forums'],
        
"findthreadst" => $mybb->input['findthreadst'],
        
"numreplies" => $mybb->input['numreplies'],
        
"threadprefix" => $mybb->input['threadprefix']
    ); 
remplacez-le par :
Code PHP :
// Exdiogene for safety against XSS sql injection...
$keywords htmlspecialchars($mybb->input['keywords']);
$keywords strip_tags($keywords);

    
$search_data = array(
        
"keywords" => $keywords,
        
"author" => $mybb->input['author'],
        
"postthread" => $mybb->input['postthread'],
        
"matchusername" => $mybb->input['matchusername'],
        
"postdate" => $mybb->input['postdate'],
        
"pddir" => $mybb->input['pddir'],
        
"forums" => $mybb->input['forums'],
        
"findthreadst" => $mybb->input['findthreadst'],
        
"numreplies" => $mybb->input['numreplies'],
        
"threadprefix" => $mybb->input['threadprefix']
    ); 

Le numéro de ligne varie selon la version de mybb.

Nous signalons la faille sur mybb.com mais dans l'attente d'un correctif de leur part, vous pouvez utiliser la parade de exdiogene si vous utilisez MyBB jusqu'à 1.6.12 compris.
 Utilitaire de traduction fourni par Regentronique