Prezados, Fui notificado sobre uma falha de segurança na Effect Web v1.8.5, a atual em código aberto. Efetuando uma breve análise, pude constar de tal falha é de nível gravíssimo, sendo assim imediatamente tratei de corrigi-la. O problema em questão até onde identifiquei, se encontra no gerador de rankings, onde pode ser feito qualquer tipo de SQL Inject. Esta falha já possui um hotfix e todos os usuários da Effect Web v1.8.x poderão estar efetuando a correção de maneira muito simples. Este é o código do ranking: [Somente usuários registrados podem vem os links. ] Efetue o download do arquivo no link informado;O arquivo deverá chamar "CTM_Ranking.class.php";Aplique o arquivo no diretório: "modules/classes/";Fim. Feito isso, seu site estará seguro. Peço desculpas por eventual caso e, caso ocorram outras falhas graves como do tipo, logo que notificado estarei corrigindo. ATENÇÃO: NÃO DEIXE DE APLICAR A CORREÇÃO EM SEU SITE... JÁ HOUVE RELATOS DE SERVIDORES AFETADOS. []'s
Última edição por Erick-Master; 06-10-2015 às 09:48 PM.
Agathos, BarakaTM, BarriozinhoTM, BeoWulf, Berlan Barbalho, bkpkbmu, Bortolini, DestructiioN, fabatista, FlavioBarreto, Foguinho, gtastyle, guido, GuilhermeSouza, hadeslan, jadsonandre, JairoBarreto, Kennedy Salvino, kingrox, konvict, liu008, lypthios, Machine, MisoGrandelle, Mr.Junior, Mr.Kennedy, OgocX, QuuesT, Reenan, Renato, rodrigopf, s00x, sgtlins, SHEIK, Sigma, sula, Temido, TonyAMT, UniverseHost, Victor_ScB, viniciusvj, viOleNt, Wendel S., Willerson, WoLfulus
Cara, outros dificilmente iriamos correr atras de fixar e ou avisar. Te admiro muito por sempre ter essa postura, alem de ser um dos poucos que considero como amigo. Obrigado pelo fix.
Erick-Master, Renato, WoLfulus
Postado originalmente por viOleNt Cara, outros dificilmente iriamos correr atras de fixar e ou avisar. por isso que eu agradeci o post... achei bacana ter feito tão rápido o fix
Última edição por WoLfulus; 06-10-2015 às 11:12 PM.
Erick-Master
O meu foi um desses ksksksks, enfim parabéns, é raro alguém parar com o projeto e ainda atualizar a falha sem ganhar nada.
Se algum dia se sentir rejeitado, lembre-se que na luta de milhares de espermatozoides o escolhido foi você.
Postado originalmente por WoLfulus por isso que eu agradeci o post... achei bacana ter feito tão rápido o fix não entendi o que você falou, ja vim com 24525 pedras na mão, sorry.
Última edição por viOleNt; 06-10-2015 às 11:15 PM. Razão: desceu pra mim
Erick-Master, Mr.Junior
eu tinha tentado dar uma olhada, mas n consegui ver os logs no ftp do guilherme... eu cheguei achar q era até exploit na versão do php (que não é difícil pq a maioria usa 5.2.17) tem uns RCE mto cabuloso nas versões antigas do php
Última edição por WoLfulus; 06-10-2015 às 11:14 PM.
então você está afirmando que anda fazendo tal tipo de coisa em servidores das pessoas ? hummmm
Postado originalmente por WoLfulus eu tinha tentado dar uma olhada, mas n consegui ver os logs no ftp do guilherme... eu cheguei achar q era até exploit na versão do php (que não é difícil pq a maioria usa 5.2.17) tem uns RCE mto cabuloso nas versões antigas do php Exploit pelo PHP eu acho bem difícil... pelo menos não sei da galera que gosta de sair zoando servidores teriam tamanha capacidade e fora que, tem coisas mais interessantes a serem feitas em exploit direto do que apenas dropar tabelas. []'s
Mr.Junior, s00x
vou repassar pro pessoal aqui
Hidden Content Hidden Content
Erick tava usando essa versão, um fd... apagou minha coluna character e memb_info tava louco sem saber oque tinha acontecido, mas obrigado ai pelo fix tu e 10!
Há 1 usuários navegando neste tópico. (0 registrados e 1 visitantes)
Regras do Fórum