ثغرة أمنية ****** SQL Injection في صفحة التقويم لمنتديات vBulletin

2007/05/02
بسم الله الرحمن الرحيم

----------------------------------------------------------------

طبعاً واضح من العنوان مكان الثغره ونوعها خلونا نشوف الاصدارات

----------------------------------------------------------------

الاصدارات المصابه

VBulletin VBulletin 3.0.12
VBulletin VBulletin 3.0.10
VBulletin VBulletin 3.0.9
VBulletin VBulletin 3.0.8
VBulletin VBulletin 3.0.7
VBulletin VBulletin 3.0.6
VBulletin VBulletin 3.0.5
VBulletin VBulletin 3.0.4
VBulletin VBulletin 3.0.3
VBulletin VBulletin 3.0.2
VBulletin VBulletin 3.0.1
VBulletin VBulletin 3.0 Gamma
VBulletin VBulletin 3.0 beta 7
VBulletin VBulletin 3.0 beta 6
VBulletin VBulletin 3.0 beta 5
VBulletin VBulletin 3.0 beta 4
VBulletin VBulletin 3.0 beta 3
VBulletin VBulletin 3.0 beta 2
VBulletin VBulletin 3.0
VBulletin VBulletin 2.3.3
VBulletin VBulletin 2.3.2
VBulletin VBulletin 2.3 .0

ملاحظة الاصدار VBulletin VBulletin 2.3.4 غير مصاب بالثغرة

الحل انا عن نفسي ما افضل وجود التقويم بالمنتدى ماله ذيك الفايدة استبدل محتوى ملف calendar.php

بمحتوى ملف index.php وراح تجد بعدها اي شخص يخش التقويم يفتح له الرئيسية.

او تقوم بعمل ترقية لإصدارات غير مصابة.