الويب العربي - تنويه عن ثغره من نوع XSS فى منتديات ال ib اصدارات 2.1.x مع الترقيع

السلام عليكم و رحمه الله و بركاته
شرح مختصر و بسيط عن الثغره
و هى ان اليوزر يستطيع زرع كود فى صوره avatar و اتغلال خاصيه البحث لتوجيه الكود المزروع فى هذا ال avatar الى تنفيذ المطلوب منه :: مثلا توجيه المنتدى الى مكان اخر يمكن ان ينفذ من خلال هذه الثغره

و هذا هو الحل المبدائى الذى طرحته الشركه الرئيسيه و هو عباره عن تعديل فى كود المنتدى فى الملف sources/action_admin/member.php

حيث يمنع ال avatar من الظهور فى البحث فى المنتدى
ارجو من الجميع الترقيع

قم بتطبيق ما يلى ::
افتح sources/action_admin/member.php
و اتجه الى السطر رقم 3456
و سيكون هذا الكود امامك

كود:

$joined = $this->ipsclass->get_date( $r['joined'], 'JOINED' );



$people .= <<<EOF

<td width='{$td_width}%' align='left' class='$class'>

فأضف فوقه السطر التالى ::

كود:

$avatar = "<img src='{$this->ipsclass->skin_url}/images/memsearch_head.gif' border='0' />";

و ثم احفظ التغييرات
و تم بذلك الترقيع المؤقت الذى طرحته الشركه invision board