Selamlar,
BEN
Global çapta binlerce forumun alt yapısını sağlayan bir ekibin, kendi ana sitesindeki bu amatörce hatayı görmesi lazım.
Zafiyet Analizi: Hedefin ana dizininde .htaccess dosyası tamamen dışarıya açık (Public). Dosya içeriğine sızdığımda asıl bombayı gördüm: ModSecurity (WAF) filtreleri kasten kapatılmış!
SecFilterEngine Off satırı ile sitenin tüm zırhı indirilmiş durumda. Filtreleme devre dışı olduğu için sistem her türlü enjeksiyon ve bypass saldırısına karşı şu an resmen "açık hedef" pozisyonunda. Sitenin tüm .php rotaları ve iç yönlendirme haritası kabak gibi ortada.
Proof of Concept (PoC) / Canlı Kanıt: 🔗 https://community.mybb.com/.htaccess
DIYER AÇIKLARDA ŞU ŞEKILDE
BEN
PACCRON
Bugün hedef tahtasına MyBB’nin ana üssünü (community.mybb.com) koydum. Xray ile yaptığım derinlemesine taramada (deep scan), sistemin kalbinde çok ciddi bir Configuration Leak (Yapılandırma Sızıntısı) yakaladım.Global çapta binlerce forumun alt yapısını sağlayan bir ekibin, kendi ana sitesindeki bu amatörce hatayı görmesi lazım.
Zafiyet Analizi: Hedefin ana dizininde .htaccess dosyası tamamen dışarıya açık (Public). Dosya içeriğine sızdığımda asıl bombayı gördüm: ModSecurity (WAF) filtreleri kasten kapatılmış!
SecFilterEngine Off satırı ile sitenin tüm zırhı indirilmiş durumda. Filtreleme devre dışı olduğu için sistem her türlü enjeksiyon ve bypass saldırısına karşı şu an resmen "açık hedef" pozisyonunda. Sitenin tüm .php rotaları ve iç yönlendirme haritası kabak gibi ortada.
Proof of Concept (PoC) / Canlı Kanıt: 🔗 https://community.mybb.com/.htaccess
DIYER AÇIKLARDA ŞU ŞEKILDE
https://community.mybb.com/.htaccess | dirscan/config/htaccess | 2026-03-08 13:47:49 | ||
| 2 | https://mybb.com/versions/README.md | dirscan/debug/readme | 2026-03-08 13:58:04 |
