+- الدعم العربي (https://www.mybbarab.com)
+-- قسم : :: . + تطوير ودعم نسخة MyBB + . :: (https://www.mybbarab.com/forum-99.html)
+--- قسم : دعم منتديات MYBB 1.8 (https://www.mybbarab.com/forum-114.html)
+--- الموضوع : [ثغرة XSS] تحديث أمني هام 1.8.37 (/thread-18521.html)
[ثغرة XSS] تحديث أمني هام 1.8.37 - admin - 2024-01-20
السلام عليكم ورحمه الله وبركاته
تم اصدار تحديث جديد 1.8.37 ويجب على الجميع الترقية فى اسرع وقت والامر بسيط جدا
يجب ان تكون نسختك 1.8.30 فأعلى وان لم تقم بالتحديثات السابقه فقم بعمل التحديثات السابقه اولا ثم حدث هذا
التحديث بتاريخ 04.11.2023 وهو لسد ثغرات امنية مهمة بالنظام وتوجب التحديث على الفور
التحديث 1.8.37 : https://resources.mybb.com/downloads/mybb_1837.zip
قم باخذ نسخه احتياطيه لموقعك كامله ( ملفات + داتا بيز ) لكي تكون مطمئن قبل فعل اي شي
ثم قم بتحميل التحديث من الرابط المباشر للموقع الرسمي للوحة MyBB وقم برفع المجلد الي رئيسيه الموقع وقم بفك الضغط من السي بنل
وان اردت رفعه من خلال الاف تي بي فقم بفك ضغط الملف علي جهازك ثم قم برفع الملفات بنفس الترتيب المدرج ووافق علي الاستبدال
بعد هذه الخطوات تدخل على الرابط التالي :
طبعا مع تغيير MYDOMAIN الى اسم موقعك
ولا تنسى ان كنت ركبت موقعك على امتداد فرعي فالرابط سيكون مثلا كالتالي:
بعد الدخول على الرابط ستظهر لك لوحة تسجيل الدخول تضع اسم الادمن (بكامل الصلاحيات وليس الادمن بصلاحيات محدودة)
وكلمة المرور ثم تضغط على Next
وتتبع الخطوات بالضغط على Next في كل مرة وسيقوم البرنامج بالاعداد تلقائيا
عند الانتهاء بنجاح , تذهب الى FTP او Filemanager
وتحذف ملف install
(لاتغير اسمه احذفه كليا)
بعد ذلك مبروك اتممت كل الخطوات الآن
ما هى أهمية الترقية للاصدار 1.8.37 ؟ : سد ثعرة ( XSS ) يمكن استغلال نقطة الضعف من خلال توجيه الضحية إلى صفحة يكون فيها المحرر
المرئي نشطًا (على سبيل المثال، منشورًا أو رسالة خاصة) ويعمل على رسالة MyCode ضارة. قد يحدث هذا في الصفحات التي يتم فيها ملء محتوى الرسالة مسبقًا باستخدام معلمة GET/POST، أو في صفحات الرد حيث يتم اقتباس رسالة ضارة محفوظة مسبقًا.
المرجع: https://github.com/mybb/mybb/security/advisories/GHSA-wj33-q7vj-9fr8
ما هى أهمية الترقية للاصدار 1.8.37 ؟ : سد ثعرة ( XSS ) يمكن استغلال نقطة الضعف من خلال توجيه الضحية إلى صفحة يكون فيها المحرر
المرئي نشطًا (على سبيل المثال، منشورًا أو رسالة خاصة) ويعمل على رسالة MyCode ضارة. قد يحدث هذا في الصفحات التي يتم فيها ملء محتوى الرسالة مسبقًا باستخدام معلمة GET/POST، أو في صفحات الرد حيث يتم اقتباس رسالة ضارة محفوظة مسبقًا.
المرجع: https://github.com/mybb/mybb/security/advisories/GHSA-wj33-q7vj-9fr8