Веб-сайты, использующие форумы от vBulletin, подвержены критической уязвимости, позволяющей с легкостью красть данные авторизации, необходимые для доступа к панели администратора. Баг в ПО версии 3.8.6 дает возможность любому имеющему браузер человеку получить доступ к внутренним системам управления форумом, в том числе – выкрасть важную информацию о его пользователях. В прошлую среду фирма vBulletin выпустила патч для устранения этой бреши, однако простейший поиск в Google показывает, что очень и очень многие клиенты фирмы его пока не установили, что делает их административные логины открытыми буквально для всех. Эксплуатация бага настолько проста, что порочит сам смысл этого понятия. Все, что нужно для проведения атаки – ввести в строку поиска в разделе FAQ форума слово database. В ответ уязвимые сайты выдадут все необходимое, чтобы просмотреть данные пользователя или внести в базу изменения уровня администратора. Исправная версия форума получила индекс 3.8.6 PL1. Чтобы убедиться в ее корректной установке, необходимо проверить в базе наличие строки database_ingo. Если патч встал правильно, этой строки обнаружить не удастся, так она удаляется в ходе установки.
всё ему чушь... на: http://www.htmlhelpcentral.com/messageboard/faq.php а новость - боян. уже давно все пропатчили.
Боян, уже было. Почти все закрыли дыру. Да и уязвимость не критическая, так как в 90% БД на локалхосте
Ввел в поиске Powered by: vBulletin Version 3.8.6 Пошарил, каждый 3 не патченый. Если знать где на хостинге стоит пхпмайАдмин можно зайти с данными и слить базу. Правда толку(
3.8.5 не хакается - "Извините, нет совпадений. Попробуйте указать другие ключевые слова." 3.8.6 из 5 штук все "нет совпадений"...