WHMCS 5.2.7 Vulnerability


Status
Not open for further replies.
nicosoftmedia

nicosoftmedia

(RIP) Community Guide
deydi said:
kalau dapat masalah seperti ini...apa aja yang perlu dilakukan selain upgrade ke 5.2.8 apalagi yang harus dibenahi terutama pada database?
Click to expand...

Backup dulu whmcs anda yang sekarang ini. Perhatikan versinya. Jika versi yang sekarang ini 5.2.7, berarti tidak perlu melakukan upgrade full. Biasanya pihak WHMCS mengeluarkan versi incrementalnya. Jadi tidak perlu menimpa semua file yang ada :). Kecuali jika versi WHMCSnya < v5.2.7, seperti 5.2.6 dan dibawahnya. Perhatikan juga permission filenya setelah di timpa :).

Good Luck.
 
galuh82

galuh82

Hosting Guru
Verified Provider
langsung ke TKP .. update lagi :)
 
ceo.ahlul

ceo.ahlul

Expert 1.0
WHMCS Secure Request

pluto01 said:
Thanks infonya bos sdh diupdate.....
Click to expand...

He2 dari pada capek update mending disecurekan saja requestnya, karena kebanyakan masalah keamanan WHMCS hampir bisa dikatakan datang dari request yang dimanipulasi. Jadi kedepan kalau ada juga masalah yang sama, insyaAllah bisa dibendung dengan skrip ini sebelum mendapatkan update.

Soalnya attacker sekarnag gampang nyerang, ga perlu scan google dulu. berbekal database yang pernah bocor kemaren tinggal eksekusi saja target yang ada di database tersebut.

BTW Namanya "WHMCS Secure Request", silahkan download di member area DS. Nanti tinggal extract saja di root dir WHMCS.

Skrip ini sudah saya share di FB sebelumnya, jadi mungkin udah ada yang pakai.

Bagi yang belum pakai perlu diperhatikan ini butuh ioncube minimal 4.4.x (bagi yang pakai payment gateway billingotomatis 2.3.8 seharusnya sudah bisa menjalankan ini).

Skrip ini free jadi silahkan disebar dan digunakan semestinya.
 
andhi

andhi

Hosting Guru
ceo.ahlul said:
He2 dari pada capek update mending disecurekan saja requestnya, karena kebanyakan masalah keamanan WHMCS hampir bisa dikatakan datang dari request yang dimanipulasi. Jadi kedepan kalau ada juga masalah yang sama, insyaAllah bisa dibendung dengan skrip ini sebelum mendapatkan update.

Soalnya attacker sekarnag gampang nyerang, ga perlu scan google dulu. berbekal database yang pernah bocor kemaren tinggal eksekusi saja target yang ada di database tersebut.

BTW Namanya "WHMCS Secure Request", silahkan download di member area DS. Nanti tinggal extract saja di root dir WHMCS.

Skrip ini sudah saya share di FB sebelumnya, jadi mungkin udah ada yang pakai.

Bagi yang belum pakai perlu diperhatikan ini butuh ioncube minimal 4.4.x (bagi yang pakai payment gateway billingotomatis 2.3.8 seharusnya sudah bisa menjalankan ini).

Skrip ini free jadi silahkan disebar dan digunakan semestinya.
Click to expand...

udh dwload jg mas, sudah dipake jg :) skalian update skalian pake dr mas ahlul :D
 
andhi

andhi

Hosting Guru
ada update baru lagii http://blog.whmcs.com/?t=80298

ayoo update lg, :41:

Releases
The following patch release versions of WHMCS have been published to address a specific privilege and SQL vulnerabilities:
v5.2.10
v5.1.12

Security Issue Information

These changes resolve security issues identified by public disclosure. The follow security issues have been addressed within the latest patches:
- Missing Cross Site Request Forgery Token checks for certain operations related to Product Bundles and Product Configuration
- SQL Injection viable due to improper validation of expected numeric data
- Enforce privilege boundaries for particular ticket actions


Important Fix Information
These changes also include important functional fixes that were produced from previous security patches:
- SQL error in getting ticket departments (5.1 only)
- Mass mail client filter excluding users set to default language
- Admin clients list displaying multiple instances of the same record in certain conditions
- Prevent user input from manipulating IP Ban logic (5.2 only)
Click to expand...
 
Status
Not open for further replies.

Top