[Patch] vBulletin Suite 4.2.2 SQL-Injection

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von raid-rush, 17. Dezember 2014 .

  1. 17. Dezember 2014
    Ein Sicherheitshinweis an alle vBulletin Administratoren:
    Für die Publisher Suite von vBulletin 4 besteht die Gefahr eines remote SQLi-Exploits.


    Betroffene und geänderte Dateien:

    /packages/vbcms/permissions.php
    /packages/vbcms/attach/article.php




    Manuel Patchen:

    Der rot markierte Bereich ist die hinzugefügte Änderung. Sucht den Rest (ohne das Rote) und ergänzt diese Zeilen.

    premissions.php
    Code:
     
    
    [COLOR="#FF0000"]$nodeid = intval($nodeid); // Should always be an integer.[/COLOR]
     if (!$record = vB::$vbulletin->db->query_first("
     SELECT
     permissionsfrom, hidden, setpublish, publishdate, userid
     FROM " . TABLE_PREFIX . "cms_node
     WHERE
     nodeid = $nodeid
     "))
    
    

    Code:
    [COLOR="#FF0000"]$nodeid = intval($nodeid); // Should always be an integer.[/COLOR]
     $rst = vB::$vbulletin->db->query_read("SELECT parent.nodeid,
     parent.permissionsfrom FROM " . TABLE_PREFIX . "cms_node AS parent INNER JOIN
     " . TABLE_PREFIX . "cms_node AS node ON (node.nodeleft >= parent.nodeleft AND node.nodeleft <= parent.noderight)
     AND parent.nodeid <> node.nodeid
     WHERE node.nodeid = $nodeid ORDER BY node.nodeleft DESC");
     $permissionsfrom = 1;

    Code:
     foreach($nodes as $key =>$nodeid)
     {
     [COLOR="#FF0000"]$nodeid = intval($nodeid); // Should always be an integer.[/COLOR]
     if (array_key_exists($nodeid, self::$permissionsfrom))
     {
     unset($nodes[$key]);
     }
     else
     {
     $nodes[$key] = $nodeid; // Resave as integer value
     }
     }
    

    article.php
    Code:
    $this->contentid = [COLOR="#FF0000"]intval([/COLOR]vB::$vbulletin->GPC['values']['f'][COLOR="#FF0000"]); // Should always be an integer.[/COLOR]
    
    Mehrfach vorhanden, alle ersetzen.
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.