Jump to content

WHMCS 4.X Security Patch


Recommended Posts

No fim de semana, um usuário anônimo relatou um problema potencial que afectam três páginas específicas da área administrativa. Isso pode permitir que indivíduos mal-intencionados ou criar anúncios de / para fazê-entradas na lista ou injetar sql. Enquanto eles fazem todos dependem de usuários mal-intencionados que já teve acesso de administrador para poder utilizar, dado o potencial de CRSF sentiu-se que o risco é real o suficiente para exigir uma correção imediata, seja lançado para ele.

Existem 3 arquivos contidos no patch, todos pertencentes à área de administração, que simplesmente precisam ser enviados para o diretório admin para ter efeito. O patch está anexado a este post e está disponível para download através da área do cliente. Não há nenhum instalar ou atualizar o script, e não incrementação versão como esses arquivos são compatíveis com todos os lançamentos V4.x.

Nós não estamos cientes de qualquer instalação que tenha sido comprometido por este ou que tenha sido divulgada no momento atual. E esse patch proativa deve negar os riscos da mesma. No entanto, se alguém tiver alguma dúvida ou preocupação, então não hesite em contactar-nos. Pedimos desculpas por qualquer inconveniente.

EDIT: Os arquivos desse patch ter sido aplicado para o download do release V4.5.1 ea correção de bugs V4.5.2 roll-up atualização deve sair ainda esta semana também vai incluí-los.

-----------------

WHMCS 4.X Security Patch

Over the weekend, an anonymous user reported a potential issue affecting 3 specific pages of the admin area. This may enable malicious individuals to either create announcements/to-do list entries or inject sql. While they do all rely on the malicious users having already gained admin access to be able to utilise, given the potential for CRSF it was felt that the risk is real enough to require an immediate patch be released for it.

There are 3 files contained in the patch, all belonging to the admin area, which simply need to be uploaded to the admin directory to take effect. The patch is attached to this post and available for download via the client area. There is no install or upgrade script, and no version incrementation as these files are compatable with all V4.x releases.

We are not aware of any install that has been compromised by this or it having been disclosed at the current time. And this proactive patch should negate any risks from it. However if anybody has any questions or concerns then please feel free to contact us. We apologise for any inconvenience.

EDIT: The files in this patch have been applied to the V4.5.1 release download and the V4.5.2 bug fix roll-up update due out later this week will also include them.

----------------

O download pode ser realizado atravez deste link no forum WHMCS: http://forum.whmcs.com/showthread.php?t=39139

Abraços.

Link to comment
Share on other sites

No fim de semana, um usuário anônimo relatou um problema potencial que afectam três páginas específicas da área administrativa. Isso pode permitir que indivíduos mal-intencionados ou criar anúncios de / para fazê-entradas na lista ou injetar sql. Enquanto eles fazem todos dependem de usuários mal-intencionados que já teve acesso de administrador para poder utilizar, dado o potencial de CRSF sentiu-se que o risco é real o suficiente para exigir uma correção imediata, seja lançado para ele.

Existem 3 arquivos contidos no patch, todos pertencentes à área de administração, que simplesmente precisam ser enviados para o diretório admin para ter efeito. O patch está anexado a este post e está disponível para download através da área do cliente. Não há nenhum instalar ou atualizar o script, e não incrementação versão como esses arquivos são compatíveis com todos os lançamentos V4.x.

Nós não estamos cientes de qualquer instalação que tenha sido comprometido por este ou que tenha sido divulgada no momento atual. E esse patch proativa deve negar os riscos da mesma. No entanto, se alguém tiver alguma dúvida ou preocupação, então não hesite em contactar-nos. Pedimos desculpas por qualquer inconveniente.

EDIT: Os arquivos desse patch ter sido aplicado para o download do release V4.5.1 ea correção de bugs V4.5.2 roll-up atualização deve sair ainda esta semana também vai incluí-los.

-----------------

WHMCS 4.X Security Patch

Over the weekend, an anonymous user reported a potential issue affecting 3 specific pages of the admin area. This may enable malicious individuals to either create announcements/to-do list entries or inject sql. While they do all rely on the malicious users having already gained admin access to be able to utilise, given the potential for CRSF it was felt that the risk is real enough to require an immediate patch be released for it.

There are 3 files contained in the patch, all belonging to the admin area, which simply need to be uploaded to the admin directory to take effect. The patch is attached to this post and available for download via the client area. There is no install or upgrade script, and no version incrementation as these files are compatable with all V4.x releases.

We are not aware of any install that has been compromised by this or it having been disclosed at the current time. And this proactive patch should negate any risks from it. However if anybody has any questions or concerns then please feel free to contact us. We apologise for any inconvenience.

EDIT: The files in this patch have been applied to the V4.5.1 release download and the V4.5.2 bug fix roll-up update due out later this week will also include them.

----------------

O download pode ser realizado atravez deste link no forum WHMCS: http://forum.whmcs.com/showthread.php?t=39139

Abraços.

Por isso e sempre bom, sempre esperar umas semanas, antes de atualizar qualquer aplicativo, especialmente o whmcs que mexe com nosso Financeiro...

Eu aidna estava esperando umas semanas para atualizar, valeu a pena a espera... mais acho que por segurabça esperaraei mais umas duas ou tres..

Link to comment
Share on other sites

Não sei se este patch corrige um detalhe.

Recentemente um desenvolvedor comentou comigo que era possível confirmar um pagamento no whmcs sem ter pago realmente.

Então eu autorizei ele testar em meu sistema e realmente ele conseguiu confirmar um pagamento em meu whmcs (indenpendente de modulo de pagamento)

Quanto ao patch, eu acessei o link do forum whmcs.com, mas da não autorizado hehehehe

Então fui na area de cliente e fiz o download por lá.

:P

AtarWeb.com.br • Hospedagem de Site + SSL Grátis
█ Revenda de Hospedagem CPanel e DirectAdmin SSD + SSL Grátis
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

Do you agree with our terms?