MuSite - Falha de segurança

**daldegam** · 27/02/2021, 10:37 PM

Boa noite, tudo bem?
Leandro Daldegam aqui!

Muito tempo se passou desde que eu desenvolvi o MuSite.

Fui contactado hoje por um desenvolvedor chamado Leonardo Lana ([Somente membros podem ver os links. ]), onde o mesmo me avisou de um problema de segurança existente no MuSite.

Após ele me mostrar onde estava a falha em questão, pedi o mesmo para enviar o patch de correção (pull request) para o repositório(github) do site que hoje é open source(código aberto).

Assim que ele enviou, aceitei a correção e fiz o merge.

Estou então avisando imediatamente para todas as pessoas que possivelmente utilizam o MuSite para que o atualizem imediatamente caso ainda estejam com ele em produção;

Como atualizar (explicação para leigos):
- Faça um backup do site que você está utilizando.
- Faça o download do conteúdo desse arquivo: [Somente membros podem ver os links. ]
- Abra o diretório em que o site está instalado, e substitua o arquivo modules/classes/ldpaneluser.class.php pelo que você acabou de obter no link acima.
- Pronto, seu site estará atualizado.

Recomendo que acessem o repositório [Somente membros podem ver os links. ] e usem o recurso "Watch" e também "Star" para ficarem sabendo de futuras atualizações de segurança por parte da própria comunidade.

Imagem de como ativar as opções:
[Somente membros podem ver os links. ]

Caso não tenha cadastro no github basta se cadastrar, é gratuito.
O patch de segurança em questão foi:[Somente membros podem ver os links. ]

Agradeço ao Leonardo Lana pelo aviso.

Abraços,
Leandro Daldegam

**lkt22** · 27/02/2021, 11:10 PM

Agradecemos pela contribuição e por preocupar-se em ainda aplicar correções mesmo após tantos anos, Leandro. Abraço.

**LaMO** · 27/02/2021, 11:39 PM

Originally Posted by daldegam

Boa noite, tudo bem?
Leandro Daldegam aqui!

Muito tempo se passou desde que eu desenvolvi o MuSite.

Fui contactado hoje por um desenvolvedor chamado Leonardo Lana ([Somente membros podem ver os links. ]), onde o mesmo me avisou de um problema de segurança existente no MuSite.

Após ele me mostrar onde estava a falha em questão, pedi o mesmo para enviar o patch de correção (pull request) para o repositório(github) do site que hoje é open source(código aberto).

Assim que ele enviou, aceitei a correção e fiz o merge.

Estou então avisando imediatamente para todas as pessoas que possivelmente utilizam o MuSite para que o atualizem imediatamente caso ainda estejam com ele em produção;

Como atualizar (explicação para leigos):
- Faça um backup do site que você está utilizando.
- Faça o download do conteúdo desse arquivo: [Somente membros podem ver os links. ]
- Abra o diretório em que o site está instalado, e substitua o arquivo modules/classes/ldpaneluser.class.php pelo que você acabou de obter no link acima.
- Pronto, seu site estará atualizado.

Recomendo que acessem o repositório [Somente membros podem ver os links. ] e usem o recurso "Watch" e também "Star" para ficarem sabendo de futuras atualizações de segurança por parte da própria comunidade.

Imagem de como ativar as opções:
[Somente membros podem ver os links. ]

Caso não tenha cadastro no github basta se cadastrar, é gratuito.
O patch de segurança em questão foi:[Somente membros podem ver os links. ]

Agradeço ao Leonardo Lana pelo aviso.

Abraços,
Leandro Daldegam

Não é atoa que é o melhor programador web que o MU Online já teve!

Agradeço pelo comprometimento com a comunidade...

Você poderia nos informar qual a função que foi corrigida? Modifiquei bastante o MuSite e preciso saber se ainda utilizo a função em questão.

**lkt22** · 27/02/2021, 11:46 PM

FUNC: loadOptionsChangeClass()

Old code: SET Class="$_POST['newclass']."
New code: SET Class=".(int)$_POST['newclass']."

Edit: (...) quem tiver interesse pode acompanhar diretamente a alteração clicando [Somente membros podem ver os links. ]

**LaMO** · 27/02/2021, 11:56 PM

Originally Posted by lkt22

FUNC: loadOptionsChangeClass()

Old code: SET Class="$_POST['newclass']."
New code: SET Class=".(int)$_POST['newclass']."

Edit: (...) quem tiver interesse pode acompanhar diretamente a alteração clicando [Somente membros podem ver os links. ]

Ah sim, felizmente eu não disponibilizei essa função pros meus clientes, nunca cheguei a olhar ela a fundo.

**alef666** · 27/02/2021, 11:57 PM

lenda daldegam

**Strong** · 28/02/2021, 12:20 AM

Lenda demais, DelmeX!

**Quest** · 28/02/2021, 08:41 PM

Já ganhou uma nota de mim, grande profissional valeu Leandro.

**leolana** · 31/03/2021, 03:47 PM

Valeu!!
Recentemente encontrei uma outra que é mais braba, e se repete no MuShopping e no EffectWeb também! Permite tomar o controle total do servidor (RCE). Sugiro conferirem no git!
Abs

**DarkMixMuOnline** · 01/04/2021, 12:39 AM

Originally Posted by leolana

Valeu!!
Recentemente encontrei uma outra que é mais braba, e se repete no MuShopping e no EffectWeb também! Permite tomar o controle total do servidor (RCE). Sugiro conferirem no git!
Abs

Explica Melhor pra nos sobre essas falhas , e qual o comando que faz pra da o acesso pra que nos possa bloquear tambem <3 <3

Tópico: MuSite - Falha de segurança

Thread Tools

Pesquisar Tópico

Display

MuSite - Falha de segurança

The Following 21 Users Say Thank You to daldegam For This Useful Post:

The Following 2 Users Say Thank You to lkt22 For This Useful Post:

The Following 2 Users Say Thank You to LaMO For This Useful Post:

The Following User Says Thank You to lkt22 For This Useful Post:

Permissões de Postagem

Sobre nós

Nossos anunciantes

Rede Sociais