1. IMPORTANT : Nouvelles mesures de sécurité - 2. Règles pour obtenir de l'aide dans les forums de support - 3. Restrictions des droits pour le groupe "Support suspendu"

Il est obligatoire de respecter les Règles de MyBB.fr : Version abrégée ou Version complète pour obtenir du support sur nos forums.

Les membres ayant un site/forum contrevenant aux règles de MyBB.support seront placés dans le groupe "Support suspendu" et ne bénéficieront plus du support du staff. Nous recommandons aux autres membres d'agir de même. Il ne s'agit pas d'un bannissement, le membre retrouvera son statut "normal" dès que sa situation sera conforme aux règles.

Nouveau : un Wiki en français : plus de détails.
Avant de soumettre votre problème, consultez-le, ainsi que la FAQ, sans oublier le moteur de recherche interne.


Note de ce sujet :
  • Moyenne : 5 (1 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
faille ?
Mots-clés » faille
05-02-2012, 13:35,
#1
faille ?
Bonjours à tous,

Je cherchais sur internet si y aurais des failles sur Mybb 1.6.5 et j'ai trouvé ceci: http://tlking.wordpress.com/2012/01/07/mybb-1-6-5-full-path-disclosure/

Si j'ai bien compris il récupère les cookies et derrière il peux modifier l'index.php.

Comment résoudre le problème ?

Merci.
Répondre
05-02-2012, 21:50, (Modification du message : 05-02-2012, 21:51 par cfillion.)
#2
RE: faille ?
Cet exploit permet de récupérer le chemin d'installation de MyBB en générant une erreur fatale PHP.

Citation :Fatal error: Cannot use object of type __PHP_Incomplete_Class as array in /home/frmybb/public_html/index.php on line 304
Je ne vois pas trop l’intérêt d'avoir cette information.

Mais il est possible de faire bien pire d'après ses articles...
http://tlking.wordpress.com/2011/10/27/la-faille-unserialize-de-php/

Pour résoudre ce problème, il suffit de trouver ce code dans le fichier index.php :
Code PHP :
if($mybb->user['uid'] == 0)
{
// Build a forum cache.
$query $db->query("
SELECT *
FROM "
.TABLE_PREFIX."forums
WHERE active != 0
ORDER BY pid, disporder
"
);

$forumsread unserialize($mybb->cookies['mybb']['forumread']);


Et d'ajouter après la ligne du $forumsread :
Code PHP :
if(!is_array($forumsread))
   exit(
'Action interdite.'); 

Ça ne devrait corriger le problème de l'erreur PHP.

Répondre
07-02-2012, 17:25,
#3
RE: faille ?
Ok merci beaucoup et comment corrigé ceci:

cfillion a écrit :Mais il est possible de faire bien pire d'après ses articles...
http://tlking.wordpress.com/2011/10/27/l...ze-de-php/
Répondre
07-02-2012, 18:48, (Modification du message : 09-02-2012, 18:24 par cfillion.)
#4
RE: faille ?
Je ne pense pas quelle s'applique vraiment à MyBB.

Répondre




Utilisateur(s) parcourant ce sujet : 2 visiteur(s)

Contact | MyBB.support | Retourner en haut | Retourner au contenu | Version bas-débit (Archivé) | Syndication RSS
 Utilitaire de traduction fourni par Regentronique