Core - XSS Vulnerability - جوملا 3

[Mahboobe.Maleki 53]

اگر روی جوملا 3 هستید، سریع تر به آخرین نسخه بروز رسانی کنید دوستان

[20140901] - Core - XSS Vulnerability

Project: Joomla!

SubProject: CMS

Severity: Moderate

Versions: 3.2.0 through 3.2.4, 3.3.0 through 3.3.3

Exploit type: XSS Vulnerability

Reported Date: 2014-August-27

Fixed Date: 2014-September-23

CVE Number: CVE-2014-6631

Description

Inadequate escaping leads to XSS vulnerability in com_media.

Affected Installs

Joomla! CMS versions 3.2.0 through 3.2.4 and 3.3.0 through 3.3.3

Solution

Upgrade to version 3.2.5 or 3.3.4

Contact

Security

[Pooyan Afzali 41]

باگش واس چند وقت پیش بود:128fs318181:

یه سری جاها رو باهاش زدن بعد منتشر کردن

همیشه هینطوره پچ های امنیتی وقتی میان یعنی قبلا 0day یوده بعد فیلمش سوخته پابلیک شده

[Mahboobe.Maleki 53]

درسته باگ مال 27 آگوست بوده اما باگ فیکس مربوط به دیروز میشه

Reported Date: 2014-August-27

Fixed Date: 2014-September-23

[Pooyan Afzali 41]

نکته اینجاست قبل از اینکه یک باگ report بشه به سازندش اول find میشه توسط یک شخص یا گروه و بسته به اینکه اون گروه چه نوع عملکردی داشته باشه ممکنه بلافاصله report نکنن باگ رو و بین خودشون نگه دارن و استفاده های لازم رو ببرن (حالا هر نوع استفاده ای .....) بعد ک کارشون تموم شد برای report کردن باگ یا میرن سایت های ثبت باگ یا سازنده مربوطه بهش اطلاع میدن و مرحله آخر bug fix میاد بیرون:yeah: البته وقتی کار از کار گذشتو یه عده

هک شدن:dadad4:

من یک سایت جوملایی رو مربوط به یک سایت مهم بررسی کردم و یک باگ رو که هنوز bug fix واسش رسما بیرون نیامده بود (ولی من نحوه پچ رو میدونستم) ریپورت دادم بهشون گفتم این باگ 0day هست و هنوز پچ رسمی نبامده واسش نیامده فلان قدر هزینه کنید که پچ کنم

گفتن نه چیزی نمیشه و rsfirewall هم داریم [ghahghah][ghahghah][ghahghah][ghahghah]:13::13: پول نداریم وا میسیم پچش بیاد:yeah: دو روز بعد سایتشون خورد!! بهم ز زدن چیکار کنیم؟ گفتم هیچی منتظر باشید Bug fix بیاد[ghahghah]:yeah:

بعله....