Проблема: Недостаточная фильтрация входящих данных.
Ошибка в версии: 5.0, 4.5, 4.3
Степень опасности: Высокая
Метод исправления:
Открываем файл engine/ajax/addcomments.php и находим
require_once ENGINE_DIR.'/inc/templates.class.php';
ниже добавляем
$_REQUEST['skin'] = end (explode (DIRECTORY_SEPARATOR, $_REQUEST['skin']));
if (!@is_dir(ROOT_DIR.'/templates/'.$_REQUEST['skin'])) {
die ("Hacking attempt!");
}
Дистрибутив версии 5.0 обновлен
Комментарии