[مصطفى]

بسم الله الرحمن الرحيم

حسب ما ذكرت شركة vbulletin أنه تم اكتشاف ثغرة xss جديدة
الثغرة موجودة في كل النسخ
الترقيع كالآتي:

في الملف class_dm.php الموجود في مجلد includes

ابحث عن:

كود PHP:

                       function verify_link(&$link) 


استبدلها بـ:

كود PHP:

                       function verify_link(&$link, $strict = false) 


أيضاً ابحث عن:

كود PHP:

else if (!preg_match('#^[a-z0-9]+://#si', $link)) 
        { 
            // link doesn't match the http://-style format in the beginning -- possible attempted exploit 
            return false; 
        } 


أضف أسفلها:

كود PHP:

else if ($strict && !preg_match('#^(http|https)://#si', $link)) 
        { 
            // link that doesn't start with http:// or https:// should not be allowed in certain places (IE: profile homepage) 
            return false; 
        } 


احفظ الملف


افتح الملف class_dm_user.php الموجود في ملف includes

ابحث عن:

كود PHP:

                       return (empty($homepage)) ? true : $this->verify_link($homepage); 


استبدلها بـ:

كود PHP:

                       return (empty($homepage)) ? true : $this->verify_link($homepage, true); 


احفظ الملف..

حتى تعرف أنك قمت بالترقيع قم بفتح الملف version_vbulletin.php الموجود أيضاً في includes

واستبدل جميع محتوياته بـ:

كود PHP:

<?php 

define('FILE_VERSION_VBULLETIN', '3.8.4 Patch Level 1'); 

?>

مع تمنياتي لكم بقضاء أجمل الأوقات

الله يحفظكم

ملحوظه
الموضوع هام والثغره خطره وتستغل اسوء استغلال
نرجو الترقيع للثغره