Bug Changuondyu Static Mod VBB và cách fix

[Admin]

Mấy ngày nay DaiCa.Net đã bị kẻ lạ login vào account admin.
Tuy nhiên kẻ lạ mặt chưa làm gì được

Sau khi được juno_okyo Report là có bug tại mod Changuondyu Static.
Mình đã kiểm tra lại các input, tất cả các input chỉ có 1 input được đưa vào truy vấn, đó là $_REQUEST['listforumid']

Và quả thật là có bug SQLi. Đây là 1 lỗi cực kỳ nghiêm trọng và sai xót của coder (Còn nghiêm trọng hơn Bug Search VBB vì rất nhiều người đang sử dụng mod này).

Từ Bug này, chúng ta có thể lấy được dữ liệu từ database => Login vào admin => Login vào admincp => Up shell => blah blah

Ở đây DuyK sẽ không nói đến cách khai thác để đề phòng "Hacker chẻ châu" quậy phá mọi người (Hacker thực sự sẽ hiểu vấn đề ngay nên khỏi cần phải nói)

Vì rất nhiều người đang sử dụng mod này và chưa fix nên DuyK hi vọng mọi người sẽ lan truyền report này.



Để fix mod này. Các bạn vào: Admincp -> Plugin & product option -> Plugin manage -> ChangUonDyU - Advanced Statistics - Get Data -> EDIT

Bạn tìm đến dòng:
$foruminid = $vbulletin->db->escape_string($_REQUEST['listforumid']);

Thay bằng:
$foruminid = intval($_REQUEST['listforumid']);

Nguồn: DaiCa.Net - Forum newbie học hỏi

 

[VnSlo]

Product : Advanced Forum Statistics VietVBB - TopX AJAX ajax_start [Sửa] [Xóa] VietVBB - TopX Create Session global_start [Sửa] [Xóa] VietVBB - TopX CSS parse_templates [Sửa] [Xóa] VietVBB - TopX CT cache_templates [Sửa] [Xóa] VietVBB - TopX Main global_setup_complete [Sửa] [Xóa] VietVBB Template Groups template_groups [Sửa] [Xóa]
Làm gì có như anh nói

 

[Admin]

Em đọc kỹ nhé....
Anh vừa fix cho TTVN xong

 

[hieudaik]

Sao ko có đoạn này nhỉ admin:
ChangUonDyU - Advanced Statistics - Get Data