0 day exploit Vbulletin e kod gömme açığı bulundu

vbulletin te index.php ye html kod gömerek site yönlendirme açığı var

4 forumda denedim 3 ünde çalıştı benim forumda yemedi sadece
neden anlamadım ama server güvenliğinden sanırım
test edilen tüm forumlar 3.6.0 gold versiyon du

iyinet hesabı olanlar varsa versin iyinet forumu r10 a yönlendirek

bende duymuştum böyle bişey
hatta bi ara süpermp3 e yaptılar

hollboy bi adres versem deneyebilir misin

deneyeceğiniz kod
<meta http-equiv=refresh content="0; url=http://r10.net">
engelleme yöntemi ise
sql den gelen veriyi nasıl alıyor bulletini incelemedim ama
queryden aldığı sonuç değişkenini
$değişken=htmlspecialchars($değişken);
yaparsanız html kod şeklinde çıkacaktır aynen
$değişken=strip_tags($değişken);
yaparsanız html olarak ne var ne yoksa siler atar
2 şekilde de hacklanmazsınız
htmlentities fonksiyonu var1 de bunda türkçe karakter sorunu çıkıyor utf-8 destekliyor ama sorun veriyo büyük İ Ş lerde filan üstte yazdığım 2 yöntemle kurtulabilirsiniz açıktan

bulletinde böyle aptalca bir açık var. Forum sahipleri buna göre önlem almalılar. Ama nasıl? Sadece son versiyonu kurarak olabilecek bir şey mi?

Son sürüm yemiyor, goldlardada denedim olmadı.. Tam olarak takip edilen adımlar neler?

değişkenleri nasıl yapıcaz hangi dosyayı editlememiz gerekiyor?

4 adet 3.6.0 golda denedim 3 ü yedi
1 tanesi yemedi oda bizim forum yemedi

ayrıca arkadaşın yukarda verdiği kodu girersen yemez zaten o önlem var
bu açık sql injection la html gömmeye yarıyor

sabah sabah daha ayılamadım yaw

mehmet gel bende dene