Lỗi trong Forum Yabb 1 Gold - Service Pack 1 và cách fix

Khai thác :

Khi 1 thành viên inserts 1 hình ảnh vào forum
yabb sẽ chuyển dòng này thành .

Nếu 1 người nào đó inserts 1 đoạn javascripts nhu sau :alert() ko cần url. Đoạn Javascrpits này sẽ chuyển pass của admin đến 1 file text.

Thế là bạn chỉ cần open file text vừa mới tạo được là có pass của admin
bây giờ muốn làm gì là tùy bạn.

Cách fix :

Thay 1 đoạn code từ dòng 138 den 141 bằng đoạn code như sau

Code:

if ($message =~ /\[img\]http:\/\/.*\[\/img\]/) {
$message =~ s~\[img\]\n?javascript\:(.+?)\n?\[/img\]~\[ img\]javascript\:$1\[/img \]~isg;
if($message =~ m~\[img\]\n?(.+?)\n?\[/img\]~gi && $1 !~ m~javascript\:~gi) {
$message =~ s~\[img\]\n?(.+?)\n?\[/img\]~<img src="$1" alt="" border="0">~isg;
}
$message =~ s~\[img width=(\d+) height=(\d+)\]\n?javascript\:(.+?)\n?\[/img\]~\[ img width=$1 height=$2\]javascript\:$3\[/img \]~isg;
if($message =~ m~\[img width=(\d+) height=(\d+)\]\n?(.+?)\n?\[/img\]~gi && $3 !~ m~javascript\:~gi) {
$message =~ s~\[img width=(\d+) height=(\d+)\]\n?(.+?)\n?\[/img\]~restrictimage($1,$2,$3)~eisg;
}
}