Вниманию владельцев 4.1.х - 4.2.х: фатальная уязвимость!

Дамы и господа четвёрошники!

для тех, кто не получает рассылки с офсайта
для тех, кто не заглядывает на саппорт

Вся линейка 4.1.х
и 4.2.х
подвержена критической уязвимости
злоумышленник может добавить пользователя с полными правами администратора
// вообще-то там всё можно, даже БД грохнуть... но сделать себя админом - проще и понятнее

Удаление папки /инсталл/ решает проблему

Мои подробные изыскания на эту тему можно почитать тут (ахтунг! многабукафф! сильно злая была...) Исправления безопасности для VBulletin 4

ах, да... я про неё всё время забываю...
у 5ки - та же дыра, /инсталл/ тоже надо удалять полностью

Вот еще один плюс третей версии.

У знакомого появился администратор kracker.
Я в яндексе поискал нашел несколько сайтов с таким админом!!!

Посмотрел в метрике вчера неоднократно на форум приходили по поисковой фразе "powered by vbulletin® version 4." магазин.

ага, я тоже недавно наткнулась на форум со свежезареганным админом с этим же ником

очень интересно... а там есть какой-то хак магазина?
или админа добавили через нЕ-удалённую папку /инсталл/?

Думаю через папку инсталл

вот форумы которые выдаёт яндекс
http://ogasoda.ru/member.php?147-kracker
http://mitsubishi-club.net/member.php/10519-kracker
http://hghltd.yandex.net/yandbtm?fmo...9f5cfe&keyno=0
http://avto-energi.ru/member.php?109-kracker

я всем (кроме третьего) отписал через обратную связь, что у них админ не родной завёлся и ссылку сбросил на сапарт где данная проблема описывается.

ну третью ссылку ты положил сюда, прямо скажем, странную)) там нормальный форум, pickupclub, только администраторы отбитые.. (нет, я не общалась, если что, это я по внешним признакам вывод сделала)

Яндекс ругается на этот форум

у меня ФФ не ругается
ну, впрочем, не важно...
регистрация хакера-крякера и 22, и 23 сентября, админы не реагируют

Четвёртый из списка админ отписал, что папки инсталл у него не было. Дал посмотреть по ftp.

Мда...
Для чего людям форум спрашивается...