السلام عليكم ورحمة الله وبركاتة


سكربت برنامج المارد 2.0.4 تعمل على جميع الاصدارات السابقه
سكربت المبوبة الشاملة 1.0.0

تم أكتشاف ثغرتين من نوع CSRF Add user admin& CSRF upload shell

.. مبرمج السكربتين softcod.com

طريقة عمل الثغرة، بمجرد ما الهكر يتواصل معك ويعطيك رابط به الاستغلال مخفي بصفحه html
وكنت أنت مسجل دخول بالادارة بموقعك راح تعمل الثغرة سوا كان رفع شل او اضافة مشرف

الترقيع اضافة توكن للجلسات لازم يوصلكم من المبرمج وتم تبليغه بوقتها

عندي طريقه راح تحد من عمل ثغرة رفع الشل وهي تغير تصريح مجلد الاستايل إلى 755

أما بخصوص ال add user admin هي بالحقيقة ماتضيف مدير كامل للموقع وانما مشرفين وهذا بحد ذاته مصيبه
وهذي سوي جدار ناري لمكان تسجيل دخول المشرفين واحتياطا سوي جدار ناري للادارة

لان من شروط عملها يكون المسار لدى الهكر معروف حتى يكتبه بـ كود الاستغلال.