Seditio Sql Injection

Son zamanlarda Seditio Hakkında çıkan SQL Injection açıkları ile ilgili bu yazıyı yazma gereği duydum.
Seditio'da şuanda hiç bir Sql Injection Açığı yoktur bunu bilmelisiniz.
Bilinen veya var oldugunu idda edenler gereksiz yere Seditio Kullanıcılarını Teretdüt içinde bırakmaktadırlar.
Şimdi sizlere var olduğu idda edilen açıklar hakkında gerekli bilgileri vericem sırasıyla.

1.Users.php
İlgili Konu: http://seditio-eklenti.com/sedit.....1845.html
Bu bir açık değildir öncelikle bunu bilmelisiniz.

Açıklama: Seditio'da Tanımlanmış olan $s değişkeni farklı şekilde çagrıldıgı zaman hata vericektir.
Yapılan işlemde hata veriyor görüldüğü gibi hatayı ekrana yazdırmak için yardımcı kod devreye giriyor burada ve hatayı sizin görmenizi saglıyor. Bu bir Sql açığı değildir Tanımlı olan kodun dışında farklı kod çagrıldıgında doğal olarak sistem hata vericektir SQL'de olmayan bir şeyi aradıgınızda.
Biz ne yaptık FİX'de Hatayı ekrana yazdırmasını önledik başka bişey yapmadık hata devam ediyor sadece kullanıcı göremiyor.

2. $get['w'] ve diğerleri
İlgili Konu: http://seditio-eklenti.com/sedit.....1880.html

Açıklama: Burada da yukarıda anlattıgım olayın aynısı geçerlidir ilgili değişkenler sisteme tanımlı oldugu için tanımlanmamış bir şekilde çagrıldıgında hata veriyor Her hangi bir SQL İnjection açığı değildir.
İlgili Yamada yine ne yaptık hatanın ekrana basılmasını önledik sadece.

3. PM Okuma Plugin
İlgili Konu: http://seditio-eklenti.com/sedit.....1884.html

Açıklama: Eklentide açık vardır fakatsorun teşkil etmez kesinlikle sadece admin gördüğü için her hangi bir risk yoktur.
Eklentideki sorun giderilebilir.
Çözüm:

Alttaki şekilde Değiştirin.

Veya bu Şekilde

4. DBTools Güvenlik Sorunu
İlgili Konu: http://seditio-eklenti.com/sedit.....1886.html

Açıklama: Böyle Bir sorun veya açık kesinlikle yoktur.
Burada yapılan işlem Admini Kandırmaktır sadece başka bir şey söz konusu değildirki sadece bu eklenti ile ilgili bişey değil orda yapılan bir konu linkinide aynı şekilde yapabilirsiniz ve admin o konuyu siler görmeden Bu Sadece Seditio İçin Geçerli değildir TÜM CMS FORUM sistemleri için aynı şey yapılabilir açık söz konusu değildir dediğim gibi sadece Admini Kandırma oyunudur.

5. Chat Plugin Güvenlik Sorunu
İlgili Konu: http://seditio-eklenti.com/sedit.....1887.html

Açıklama: Buda aynı DbTools gibi Admini kandırma işlemi ile yapılan bir şey her hangi bir açık teşkil etmiyor.

Bunların Dışında şuan bilinen bişey yok yada ben bilmiyorum.

SEDİTİO KULLANICILARI HİÇ BİR ŞEKİLDE ENDİŞE ETMESİN GÜVENLİK AÇIĞI YOKTUR SADECE ETRAFTA DEDİKODU YAPIP İNSANLARIN BEYNİNİ BULANDIRIYORLAR O KADAR HİÇ KİMSEYE İTİBAR ETMEYİNİZ BU KONULAR HAKKINDA.


Sormak istedikleriniz veya bilmemiz gerekenler varsa lütfen yazınız.

Seditio 'da Sql injection demek seditio yok demek biz sedi saten sql ile çaliştiriyoruz illaki olur böyle şeyler ama her arka kapının bir kilidi vardır arkadaşlar..

Alıntı

---

#7243 bilgicep :

Alıntı

---

#7242 Aragorn-pc :
Seditio 'da Sql injection demek seditio yok demek biz sedi saten sql ile çaliştiriyoruz illaki olur böyle şeyler ama her arka kapının bir kilidi vardır arkadaşlar..

---

ne alaka şimdi vb smf wp de sql sorgusuyla çalışıyor

---

Seditio Destek Yerinde Olduğumuz İçin Bütün Scriptleri Sayma Gereği Duymadım