Boa noite, tudo bem?
Leandro Daldegam aqui!


Muito tempo se passou desde que eu desenvolvi o MuSite.


Fui contactado hoje por um desenvolvedor chamado Leonardo Lana ([Only registered and activated users can see links]), onde o mesmo me avisou de um problema de segurança existente no MuSite.


Após ele me mostrar onde estava a falha em questão, pedi o mesmo para enviar o patch de correção (pull request) para o repositório(github) do site que hoje é open source(código aberto).


Assim que ele enviou, aceitei a correção e fiz o merge.


Estou então avisando imediatamente para todas as pessoas que possivelmente utilizam o MuSite para que o atualizem imediatamente caso ainda estejam com ele em produção;


Como atualizar (explicação para leigos):
- Faça um backup do site que você está utilizando.
- Faça o download do conteúdo desse arquivo: [Only registered and activated users can see links]
- Abra o diretório em que o site está instalado, e substitua o arquivo modules/classes/ldpaneluser.class.php pelo que você acabou de obter no link acima.
- Pronto, seu site estará atualizado.


Recomendo que acessem o repositório [Only registered and activated users can see links] e usem o recurso "Watch" e também "Star" para ficarem sabendo de futuras atualizações de segurança por parte da própria comunidade.


Imagem de como ativar as opções:
[Only registered and activated users can see links]


Caso não tenha cadastro no github basta se cadastrar, é gratuito.
O patch de segurança em questão foi:[Only registered and activated users can see links]


Agradeço ao Leonardo Lana pelo aviso.


Abraços,
Leandro Daldegam

Agradecemos pela contribuição e por preocupar-se em ainda aplicar correções mesmo após tantos anos, Leandro. Abraço.

Boa noite, tudo bem?
Leandro Daldegam aqui!


Muito tempo se passou desde que eu desenvolvi o MuSite.


Fui contactado hoje por um desenvolvedor chamado Leonardo Lana ([Only registered and activated users can see links]), onde o mesmo me avisou de um problema de segurança existente no MuSite.


Após ele me mostrar onde estava a falha em questão, pedi o mesmo para enviar o patch de correção (pull request) para o repositório(github) do site que hoje é open source(código aberto).


Assim que ele enviou, aceitei a correção e fiz o merge.


Estou então avisando imediatamente para todas as pessoas que possivelmente utilizam o MuSite para que o atualizem imediatamente caso ainda estejam com ele em produção;


Como atualizar (explicação para leigos):
- Faça um backup do site que você está utilizando.
- Faça o download do conteúdo desse arquivo: [Only registered and activated users can see links]
- Abra o diretório em que o site está instalado, e substitua o arquivo modules/classes/ldpaneluser.class.php pelo que você acabou de obter no link acima.
- Pronto, seu site estará atualizado.


Recomendo que acessem o repositório [Only registered and activated users can see links] e usem o recurso "Watch" e também "Star" para ficarem sabendo de futuras atualizações de segurança por parte da própria comunidade.


Imagem de como ativar as opções:
[Only registered and activated users can see links]


Caso não tenha cadastro no github basta se cadastrar, é gratuito.
O patch de segurança em questão foi:[Only registered and activated users can see links]


Agradeço ao Leonardo Lana pelo aviso.


Abraços,
Leandro Daldegam

Não é atoa que é o melhor programador web que o MU Online já teve!

Agradeço pelo comprometimento com a comunidade...

Você poderia nos informar qual a função que foi corrigida? Modifiquei bastante o MuSite e preciso saber se ainda utilizo a função em questão.

FUNC: loadOptionsChangeClass()

Old code: SET Class="$_POST['newclass']."
New code: SET Class=".(int)$_POST['newclass']."


Edit: (...) quem tiver interesse pode acompanhar diretamente a alteração clicando aqui ([Only registered and activated users can see links])

FUNC: loadOptionsChangeClass()

Old code: SET Class="$_POST['newclass']."
New code: SET Class=".(int)$_POST['newclass']."


Edit: (...) quem tiver interesse pode acompanhar diretamente a alteração clicando aqui ([Only registered and activated users can see links])

Ah sim, felizmente eu não disponibilizei essa função pros meus clientes, nunca cheguei a olhar ela a fundo.

lenda daldegam

Lenda demais, DelmeX!

Já ganhou uma nota de mim, grande profissional valeu Leandro.

Valeu!!
Recentemente encontrei uma outra que é mais braba, e se repete no MuShopping e no EffectWeb também! Permite tomar o controle total do servidor (RCE). Sugiro conferirem no git!
Abs

Valeu!!
Recentemente encontrei uma outra que é mais braba, e se repete no MuShopping e no EffectWeb também! Permite tomar o controle total do servidor (RCE). Sugiro conferirem no git!
Abs
Explica Melhor pra nos sobre essas falhas , e qual o comando que faz pra da o acesso pra que nos possa bloquear tambem <3 <3

entao porque nao mostra a falha ?
- ja que voce achou ou ta de zoação com a cara dos outro

Já mostrei a falha, o PR já foi submetido e já está no git. Você não espera um tutorial de invasão, espera?

Também não acho válido ensinar como é que faz a falha, até porque vai ter muito "nerdão" ai brincando com os servidores alheios...

[Only registered and activated users can see links]

É lógico que ninguém vai explicar como ocorre a falha, como já disseram, ABESTADO é o que iria faltar
querendo zoar os usuários da Web.


[Only registered and activated users can see links]

Muito obrigado pela preocupação e por este suporte, fantástico!

é só colocar 1=1;

Valeu!!
Recentemente encontrei uma outra que é mais braba, e se repete no MuShopping e no EffectWeb também! Permite tomar o controle total do servidor (RCE). Sugiro conferirem no git!
Abs

Boa noite!! Te enviei uma mensagem privada
Se possivel, retorne o contato :)

DALDEGAM você é um MITO! pqp.

Eu e todos nois da comunidade agradecemos de coração por todo carinho e atenção!

Você é um grande homem, alem de ter passado anos (decada) sem trabalhar com o projeto, e mesmo assim ainda atualizou.

um grande abraço! de seu amigo danrlley.

Muito Obrigado ao Mito Daldegam e ao Lana tbm por ter contribuido.