Проблема: Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.
Ошибка в версии: Все версии ниже 5.0
Степень опасности: Высокая
Внимание обратите внимание что это новый тип атак, и на данный момент уязвимо большинство различных скриптов, поэтому обращайте внимание на все ссылки, которые вы нажимаете. На данный момент данной уязвимости подвержены броузеры Opera и FireFox, IE в данном вопросе неуязвим. Более подробно о данном типе атак вы можете прочитать на http://www.securitylab.ru/analytics/274302.php. Исправление для нашего скрипта смотрите в подробностях.
Проблема: Недостаточная фильтрация переменной $_SERVER['PHP_SELF']
Ошибка в версии: 4.5, 4.3, 4.2
Степень опасности: Низкая
Дистрибутив версии 4.5 был обновлен.
Ошибка в версии: 4.5, 4.3, 4.2
Степень опасности: Низкая
Дистрибутив версии 4.5 был обновлен.
Проблема: Обнаружен недочет в обработке тега [code] в новостях и комментариях. Если данный тег присутствует несколько раз, то он будет заменен на один и тот же текст
Ошибка в версии: 4.5
Исправление в подробностях, все дистрибутивы были обновлены.
Ошибка в версии: 4.5
Исправление в подробностях, все дистрибутивы были обновлены.
Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.
Степень тяжести: средняя
Исправление предназначено для версий 4.1, 4.2 и 4.3
Метод исправления:
Файл engine/modules/addcomments.php
найти
заменить на
Степень тяжести: средняя
Исправление предназначено для версий 4.1, 4.2 и 4.3
Метод исправления:
Файл engine/modules/addcomments.php
найти
$name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail']));
заменить на
$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));
август
06
2006
Баг при добавлении пользователя через админ-панель
После добавления пользователя через админ-панель, при попытке войти на сайт под этим именем выходит сообщение об ошибке:
-----------------------------------------------------------------------------------------------------------------------------
Внимание, вход на сайт не был произведен. Возможно вы ввели неверное имя пользователя или пароль.
-----------------------------------------------------------------------------------------------------------------------------
Решение - в файле \engine\inc\editusers.php нужно заменить строку
на
-----------------------------------------------------------------------------------------------------------------------------
Внимание, вход на сайт не был произведен. Возможно вы ввели неверное имя пользователя или пароль.
-----------------------------------------------------------------------------------------------------------------------------
Решение - в файле \engine\inc\editusers.php нужно заменить строку
$regpassword = md5($regpassword);
на
$regpassword = md5(md5($regpassword));
Календарь
Опрос на сайте
Совершаете ли вы покупки в интернет?