Selamlar,
Bu akşam bir kaç server çok ufak bir hatanın mağduru olarak çok büyük zararlar altına girmiştir.
SevenPanel'in Administrator klasöründe bulunan Includes alt klasöründeki paypalyonetim.php dosyasında, gelen sorguların kontrolü yapılmamakta buda özgürce SQL kodu girilmesine sebep olmaktadır. Bu klasörde sadece bu dosyada açık bulunmaktadır.
Dosyanın düzeltilmiş halinin kodlarını buradan alabilirsiniz. Ayrıca dosyanın include edilip edilmediği kontrolüde yapılmamaktaydı, buda direkt olarak sayfayı load etmemize sebep oluyordu.
HATALI KOD:
PHP- Kodu:
DÜZELTİLMİŞ KOD
PHP- Kodu:
Daha bir çok dosyada bu tehlike olabilir bütün dosyaları inceleyip bir gelişme olursa buradan bildireceğim. Bu yukarıdaki kodu belirttiğim gibi SEVENPANEL/administrator/include/paypalyonetim.php dosyasının içindeki kod ile değiştiriniz.
Saygılar
ALINTI : OSMANX ( ÖNEMLİ BİLGİLENDİRMEDİR )
Bu akşam bir kaç server çok ufak bir hatanın mağduru olarak çok büyük zararlar altına girmiştir.
SevenPanel'in Administrator klasöründe bulunan Includes alt klasöründeki paypalyonetim.php dosyasında, gelen sorguların kontrolü yapılmamakta buda özgürce SQL kodu girilmesine sebep olmaktadır. Bu klasörde sadece bu dosyada açık bulunmaktadır.
Dosyanın düzeltilmiş halinin kodlarını buradan alabilirsiniz. Ayrıca dosyanın include edilip edilmediği kontrolüde yapılmamaktaydı, buda direkt olarak sayfayı load etmemize sebep oluyordu.
HATALI KOD:
PHP- Kodu:
PHP:
<div class="block">
<div class="block_head">
<div class="bheadl"></div>
<div class="bheadr"></div>
<h2>PAYPAL HESABI DUZENLE</h2>
</div>
<div class="block_content tab_content">
<?php
include('../../config/config.inc.php');
$conn = @odbc_connect("".$db['db_name']."","".$db['db_user']."","".$db['db_pass']."");
if(isset($_POST['save'])) {
$paypaladresi = $_POST['paypaladresi'];
if($paypaladresi == '') {
echo '<div class="message warning">
Bos Alan Birakmayiniz.</p></div>';
}else{
$websqlquery = odbc_exec($conn, "UPDATE _PANELSETTINGS SET paypal='$paypaladresi'");
if($websqlquery) {
echo '<div class="message success">
"'.$paypaladresi.'" basari ile kaydedildi.</p></div>';
}else{
echo '<div class="message errormsg">
"'.$paypaladresi.'" kaydedilemedi.</p></div>';
}
}
}
?>
<form action="<?php $_SERVER['PHP_SELF'];?>" method="post">
<label>Paypal Adresi:</label>
<textarea name="paypaladresi"></textarea>
<span class="note"></span>
</p>
<input type="submit" class="submit small" name="save" value="Kaydet" />
</p>
</form>
</div>
<div class="bendl"></div>
<div class="bendr"></div>
</div>DÜZELTİLMİŞ KOD
PHP- Kodu:
PHP:
<?php if(!defined('SEVENPANEL')) {header("HTTP/1.1 403 Forbidden")&die('403.14 - Directory listing denied.'); } ?>
<div class="block">
<div class="block_head">
<div class="bheadl"></div>
<div class="bheadr"></div>
<h2>PAYPAL HESABI DUZENLE</h2>
</div>
<div class="block_content tab_content">
<?php
include('../../config/config.inc.php');
$conn = @odbc_connect("".$db['db_name']."","".$db['db_user']."","".$db['db_pass']."");
if(isset($_POST['save'])) {
$paypaladresi = v4guvenlik($_POST['paypaladresi']);
if($paypaladresi == '') {
echo '<div class="message warning">
Bos Alan Birakmayiniz.</p></div>';
}else{
$websqlquery = odbc_exec($conn, "UPDATE _PANELSETTINGS SET paypal='$paypaladresi'");
if($websqlquery) {
echo '<div class="message success">
"'.$paypaladresi.'" basari ile kaydedildi.</p></div>';
}else{
echo '<div class="message errormsg">
"'.$paypaladresi.'" kaydedilemedi.</p></div>';
}
}
}
?>
<form action="<?php $_SERVER['PHP_SELF'];?>" method="post">
<label>Paypal Adresi:</label>
<textarea name="paypaladresi"></textarea>
<span class="note"></span>
</p>
<input type="submit" class="submit small" name="save" value="Kaydet" />
</p>
</form>
</div>
<div class="bendl"></div>
<div class="bendr"></div>
</div>Daha bir çok dosyada bu tehlike olabilir bütün dosyaları inceleyip bir gelişme olursa buradan bildireceğim. Bu yukarıdaki kodu belirttiğim gibi SEVENPANEL/administrator/include/paypalyonetim.php dosyasının içindeki kod ile değiştiriniz.
Saygılar
ALINTI : OSMANX ( ÖNEMLİ BİLGİLENDİRMEDİR )
