Bug này đã có exploit và bị khai thác triệt để nhưng vẫn chưa có ai đưa ra bản vá cho nó, hôm nay rảnh được chút thời gian nên mình làm cái tut cho oai chứ thật ra là đọc code và fix lỗi cho nó thôi kakaka.
cách fix bug này:
vào: Admincp -> Plugin & product option -> Plugin manage -> [HQTH]Music Gift -> [HQTH]Music Gift có hook misc_start -> edit (sửa) -> tìm dòng code dưới:
if($_GET[id]) $m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX
."hqth_music WHERE id = $_GET[id] AND pulish = 1");
if($_GET[id]) $m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX
."hqth_music WHERE id = '". stripslashes($_GET[id]) ."' AND pulish = 1"); /*fixed by ccb*/
vd:
("SELECT * FROM ". TABLE_PREFIX ."hqth_music WHERE id = $_GET[id] AND pulish = 1");
thì thay bằng:
("SELECT * FROM ". TABLE_PREFIX ."hqth_music WHERE id = '". stripslashes($_GET[id]) ."' AND pulish = 1");
nguồn: concobe - VHB - huynhdegroup.net
Tut by Concobe
nói chung là ko ngờ vB4 Gift Music lại bị dính lỗi này, chắc do coder sơ suất, mà fix cũng đơn giản mà, sao lại ko có bản vá
Trả lờiXóa