Posible vulnerabilidad en XS 2 y Plus 1.53

[ThE KuKa]

Hola,

Asi a modo rapido comentar una cosa importante, no es seguro pero si es muy probable que HacksList MOD sea de nuevo vulnerable, en Octubre muchos MODs de Nivisec lo fueron y en Septiembre este lo fue, todos fueron fijados por su autor, pero al parecer, HackList 1.20 lo sigue siendo.

Consejo, renombrar el archivo admin/admin_hacks_list.php en el caso de Plus 1.53 o adm/admin_hacks_list.php en el caso de XS 2 por otro nombre mas dificil de "intuir" e incluso eliminarlo (con previo Backup claro esta)

No cito enlace ni nada por el estilo, solo falta que de pistas...

S@lu2

[Morph]

ThE KuKa, Gracias por la info. Saludos

[Aleks]

he estado mirando el archivo y creo que ya se donde está la vulnerabilidad (no estoy completamente seguro de que sea) y si es eso, no hace falta borrar el archivo, con tener los register_globals en off se soluciona.

[invi]

Yo lo he borrado por si acaso en vez de renombrarlo xD
Cuando alguien confirme algo más claro si al final hay vulnerabilidad o no lo vuelvo a subir.

[Xusqui]

Muchas gracias por la info...

Yo, no lo he borrado, pero lo he renombrado a algo así como admin_aqui_se_manejan_los_mods_que_hay_instalados.php

Vamos, que como den con el nombre es que se merecen hackearme la web!!!

Un saludo!!

[Aleks]

joer Xusqui, como pongas el nombre aqui... lo van a tener mas facil xd

[Zuker]

fue un ejemplo Aleks

[Morph]

Aleks, Si es Turco igual ni se entera de lo que pone jeje. Saludos

[ThE KuKa]

Fijado por MG para XS aunque creo que para Plus seria valido.

Abrir adm/admin_hacks_list.php

Buscar:

Código: Seleccionar todo

if (count($_POST))

Antes Añadir:

Código: Seleccionar todo

$hack_id = intval($hack_id);

Zuker ya lo a enviado al foro de parches para XS.

S@lu2

[Morph]

ThE KuKa, Ok gracias por avisar.

Solo una pregunta quizas tonta, pero tengo curiosidad. El tener este archivo o no que hace verdaderamente. Saludos

[Zuker]

Te permite cambiar el hack list desde el acp
O sea, añadir los mods y eso que tenes en tu foro o editar los campos que existen

[Morph]

Zuker, Si imagine que era eso pero yo borre el archivo y sigo entrando a esa pagina y editando, lo probe por curiosidad, lo que no he mirado si deja añadir mas a la lista, no se igual fue una flipada mia. jeje. Saludos

[Zuker]

Puede ser que te haya quedado algo en el cache... pero ese archivo es necesario
Saludos

[ThE KuKa]

Off Topic:

Zuker eres VIP en XS me alegro...

[Zuker]

Off Topic:

Si, un gusto la verdad, por ahora miro y aprendo alli...