MyBB Русское сообщество
Уязвимости в 1.8! - Версия для печати

+- MyBB Русское сообщество (http://mybbforum.ru)
+-- Форум Общий раздел (http://mybbforum.ru/forum-1.html)
+--- Форум Новости и объявления (http://mybbforum.ru/forum-2.html)
+--- Темы: Уязвимости в 1.8! (/thread-1309.html)

Уязвимости в 1.8! - Gtr - 16.06.2019

Вбил в гугле запрос 'myBB'  и открыл новости, сразу увидел

https://portswigger.net/daily-swig/open-forum-unpatched-mybb-sites-vulnerable-to-remote-takeover

"Форумы о хакерах и кардерах входят в число 10 000 сайтов, работающих на программном обеспечении MyBB"

это начало новости, а в заголовке явно речь про уязвимость, не силен в англ. поэтому прошу прочитать и по-возможности перевести тезисы и написать из здесь.

RE: Уязвимости в 1.8! - Gtr - 22.06.2019

да уж, активность так и приет 8(

RE: Уязвимости в 1.8! - ElDrako - 24.06.2019

там смысл уязвимости в получении сессии админа при неосторожности в ЛС.
как и все уязвимости лечится последним обновлением до 21-й версии.
а "журналамеры" как всегда нагнетают.

RE: Уязвимости в 1.8! - Gtr - 24.06.2019

возникла идея переменовать/изменить расположение админки, как это сделать?

где-то видел плагин, но, может без него выйдет?

и с точки зреня безопасности, это дает что-то? или при сканировании форума софт и так найдет? Тогда получится защита от дурака.

Ради интереса проверил, https://community.mybb.com/admin , их админка спрятана Улыбка

RE: Уязвимости в 1.8! - Vladimir - 12.07.2019

(24.06.2019, 09:08 PM)Gtr Написал: возникла идея переменовать/изменить расположение админки, как это сделать?

где-то видел плагин, но, может без него выйдет?

и с точки зреня безопасности, это дает что-то? или при сканировании форума софт и так найдет? Тогда получится защита от дурака.

Ради интереса проверил, https://community.mybb.com/admin  , их админка спрятана Улыбка
Да зачем прятать админку? Можно закрыть доп. паролем при переходе по ссылке в админку, как сейчас действует на этом форуме. Так же желательно привязать к сайту сертификат, чтобы данные шифровались и еще chrome не будет ругаться, что ваш сайт не защищен сертификатом безопасности.
У оф. сайта она не спрятана, там просто стоит доступ по ip скорее всего к папке admin, почему и сообщение такое выводится о запрете.