Главная страница / Найденные ошибки / Уязвимость от 18.08.2006
август 18 2006

Уязвимость от 18.08.2006

celsoft 18 августа 2006 Найденные ошибки 9 805
5 комментариев
Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.

Степень тяжести: средняя

Исправление предназначено для версий 4.1, 4.2 и 4.3

Метод исправления:

Файл engine/modules/addcomments.php

найти
$name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail']));


заменить на
$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));
73

Комментарии

  1. 3

    xsash (Посетители)

    18 августа 2006 19:12 10 комментариев
    ну тогда наверно и в модуле pm.php нужно заменить

    $name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));$subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));


    на

    $name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));$subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));


    или не нужно? o_O
  2. 4

    xsash (Посетители)

    18 августа 2006 19:13 10 комментариев
    ну вот, еще один лаг найден. не переводит в "больше" и"меньше"
  3. 4

    Link (Клиенты)

    19 августа 2006 17:21 9 комментариев
    В файле engine/modules/pm.php нужно заменить эти строки


    $name = $parse->safeSQL($parse->process($_POST['name']));
    $subj = $parse->safeSQL($parse->process($_POST['subj']));


    на вот эти


    $name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
    $subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));
  4. 4

    celsoft (Администраторы)

    19 августа 2006 21:21 4 136 комментариев
    Не надо делать лишних вещей, указано что баг имеет место только с неавторизованными пользователями. Поэтому не надо считать что везде где есть эти строки это это баг. ПМ недоступен для незарегистрированных пользователей.
  5. 4

    Mr 13 (Посетители)

    30 мая 2007 13:49 97 комментариев
    Ок.

Информация

Комментирование публикаций доступно только пользователям имеющим действующую лицензию на скрипт. Если вы уже приобретали скрипт, то вам необходимо зайти на сайт под своим клиентским аккаунтом.

Разделы

Календарь

«    Ноябрь 2024    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
252627282930 

Опрос на сайте

Совершаете ли вы покупки в интернет?

Облако тегов

Cloudflare Nginx Монетизация Плагины Релизы Советы Шаблоны

Популярное