Siento decir que el 90% de las versiones actuales del MC v6.0 son hackeables mediante el RFI, Remote File Inclusion.

¿Que es esto?
El bug* basicamente funciona incluyendo un archivo (shell) que tiene codigos para modificar nuestra web desde dentro, el MC con el bug que tiene permite introducir este archivo y por tanto tu web en el servidor es vulnerable.

¿Como evitarlo?
Hay muchas formas, una puede ser Contactar con tu Proveedor de Hosting y comentarle el problema, este se encargará de anular varios parametros del php.ini que permiten incluir archivos externos al servidor en tu web.

Otra forma para evitar el RFI podría ser crear tu mismo un codigo que impida introducir, EN EL MINICHAT, cualquier archivo que no pertenezca a los originales del MC.

H1R0 me paso hace poco este parche, que no lo he provado pero el asegura que funciona..:

<tr>
<td>
<? 
include ("main.php"); 
if ($_GET[&#39;mostrar&#39;] == "tag.php") {
?>
<iframe marginwidth="0" marginheight="0" src="tag.php?<?=session_name()."=".session_id(); ?>" frameborder="0" width="180" height="350" scrolling="yes" name="iframe"></iframe>
<?
} else {
?>
<div class="frame">
<? if(isset($_GET[&#39;mostrar&#39;])) {
echo "Remote File Inclusion - Not allowed On this Server [Patch by H1r0]";
exit;
}
?>
</div>
<? } ?>
</td>
</tr>

Os adjunto el archivo ftag.php que debeis cambiar para que lo adapteis mejor a vuestro minichat

Aclaraciones(*):

• BUG: Traducido al español --> error.

Si ese bug es verídico, vaya fallo del programador, ¿no? 

Si es que es de cajón. Siempre que se ejecuta una variable desde las URLS no hay que darle libertad, sino hacer una lista de opciones posibles.......

Creo que va por ahí la cosa. Faltaría ver más código.

Siempre, en la ejecución de una variable, hay que hacer que solamente se puedan ejecutar archivos internos de la web y no externos.

@zeuser, sí...
eso una vulnerabilidad grave porque puedes incluir mediante la variable un archivo exterior al host lo cual, te permite introducir una shell por la cual, puedes navegar por los directorios de la web y ejecutar comandos siempre que tengas permisos, depende si el safe está on u off... entonces ya tendría que tener el,a atacante previos conocimientos acerca de lo que hace para obtener permisos root  

10 !

No se pueden incluir archivos externos en PHP....  xD

Siento romperte los esquemas, sagitari

oh! siento romperte yo ahora los esquemas a tí pero...
yo proporciono información acerca de la vulnerabilidad

eso una vulnerabilidad grave

ni me he mirado el code del mc.....  xD xD  ;D
porque posiblemente sé más de seguridad relacionada a vulnerabilidades en websites que php...  :

saludos :-*

btw,
index.php?variable=http://web.coma eso me refiero, eso es cojer una web externa, y por ejemplo:
index.php?variable=http://web.com/file.phpa eso le llamo yo archivo externo.  xD

NaVeDa, subi el FTAG.php, y el MC me sale en mantenimiento, porque? :S

gracias, ya me funciona!!

ese codigo si va hiro lo izo en el primer mc el mio i funciona fue en el primero que se provo en el mio

Puse el codigo, y en vez de acer eso, lo que hace es que cada vez que un usuario o vip mandan un mensage da el resultado, en este caso:

"Remote File Inclusion - Not allowed On this Server [Patch by H1r0]";

[/b]