News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 12
Seite [1]
r4z0r


Try to beat me



Herkunft: Daham
Beiträge: 153
# Thema - 16.05.2010 um 13:32 Uhr
http://www.exploit-db.com/exploits/12616

bekannt? wann wirds gefixt?

work around gibts?

mfg


Zuletzt editiert von r4z0r am 16.05.2010 um 13:33 Uhr (2x Editiert)
Inaktiv
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 1 - 16.05.2010 um 13:45 Uhr
Danke,

öffne mods/awards/list.php
suche
$cs_sort[8] = 'games_name ASC';

füge darunter ein
settype($_REQUEST['sort'],"integer");


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 2 - 16.05.2010 um 13:47 Uhr
also eigentlich dürfte da gar nichts passieren und wenn ich es in der demo teste tut es das auch nicht.


------------------
www.laszlokorte.de

Inaktiv
|
reVerB


Geekboy




Beiträge: 1237
# Antwort: 3 - 16.05.2010 um 13:49 Uhr
Ich habe eben das ganze auch auf meiner lokalen Installation getestet. Das ist sogar noch die 2009.0.3. Da passiert auch nichts.


Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 4 - 16.05.2010 um 13:51 Uhr
hatte auf die schnelle nur 2009.0.2 da, und da gibts "funktioniert" der exploit


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 5 - 16.05.2010 um 14:14 Uhr
jo der bug war schon bekannt und wurde mit 2009.3 gefixt, soweit ich mich erinnere.


------------------
www.laszlokorte.de

Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 6 - 16.05.2010 um 14:20 Uhr
http://trac.csphere.eu/csp/log/trunk/mods/awards/list.php

laut der change history wurde in der richtung nichts gefixed

allerdings kann ich das sort nicht ausnutzen, da lediglich die definierten zahlenwerte funktionieren, weswegen meiner ansicht nach der xss garnicht gehen kann


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Jam2 ClanSphere Team


Highlander





Beiträge: 3291
# Antwort: 7 - 16.05.2010 um 14:28 Uhr
edited......


------------------
Gruß/ Best regards
Jam2

Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes)
Template Switch for index.php
Board Navlist last posts

Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota.....
Edi: hö ?
Jam2: nichts ist unmöglich!


Zuletzt editiert von Jam2 ClanSphere Team am 16.05.2010 um 15:46 Uhr (1x Editiert)
Inaktiv
|
r4z0r
Thread-Ersteller


Try to beat me



Herkunft: Daham
Beiträge: 153
# Antwort: 8 - 17.05.2010 um 12:07 Uhr
kthx


Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 9 - 17.05.2010 um 12:27 Uhr
war leider doch was dran und wurde gefixt, ist aber beim letzten release noch nicht dabei.


Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 10 - 17.05.2010 um 13:14 Uhr
sind aber präparierte links nötig, oder?


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
SCHIRI ClanSphere Team


Weltmeister



Herkunft: Hamburg
Beiträge: 5299
# Antwort: 11 - 17.05.2010 um 13:24 Uhr
warum "aber"?


------------------
www.laszlokorte.de

Inaktiv
|
hajo ClanSphere Team


VIP - Poster




Herkunft: Barsbüttel
Beiträge: 9411
# Antwort: 12 - 17.05.2010 um 13:59 Uhr
hab das ganze anfangs falsch verstanden, ist wohl wie bei dem CVE eintrag, der das fehlende escaping von html bei suchinhalten bemängelte in diesem fall


------------------
ClanSphere - professional clan care starts here

Inaktiv
|
Antworten: 12
Seite [1]


Sie müssen sich registrieren, um zu antworten.


ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo