English
Проблема: Название самодостаточный XSS полностью объясняет тип атаки. Эта атака не требует наличия XSS уязвимости в web приложении. Все, что требуется для ее проведения содержится в одном URL. После выполнения URL ресурс будет автоматически ассемблирован.
Ошибка в версии: Все версии ниже 5.0
Степень опасности: Высокая
Внимание обратите внимание что это новый тип атак, и на данный момент уязвимо большинство различных скриптов, поэтому обращайте внимание на все ссылки, которые вы нажимаете. На данный момент данной уязвимости подвержены броузеры Opera и FireFox, IE в данном вопросе неуязвим. Более подробно о данном типе атак вы можете прочитать на http://www.securitylab.ru/analytics/274302.php. Исправление для нашего скрипта смотрите в подробностях.
Проблема: Недостаточная фильтрация переменной $_SERVER['PHP_SELF']
Ошибка в версии: 4.5, 4.3, 4.2
Степень опасности: Низкая
Дистрибутив версии 4.5 был обновлен.
Ошибка в версии: 4.5, 4.3, 4.2
Степень опасности: Низкая
Дистрибутив версии 4.5 был обновлен.
Проблема: Обнаружен недочет в обработке тега [code] в новостях и комментариях. Если данный тег присутствует несколько раз, то он будет заменен на один и тот же текст
Ошибка в версии: 4.5
Исправление в подробностях, все дистрибутивы были обновлены.
Ошибка в версии: 4.5
Исправление в подробностях, все дистрибутивы были обновлены.
Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.
Степень тяжести: средняя
Исправление предназначено для версий 4.1, 4.2 и 4.3
Метод исправления:
Файл engine/modules/addcomments.php
найти
заменить на
Степень тяжести: средняя
Исправление предназначено для версий 4.1, 4.2 и 4.3
Метод исправления:
Файл engine/modules/addcomments.php
найти
$name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail']));заменить на
$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));
август
06
2006
Баг при добавлении пользователя через админ-панель
После добавления пользователя через админ-панель, при попытке войти на сайт под этим именем выходит сообщение об ошибке:
-----------------------------------------------------------------------------------------------------------------------------
Внимание, вход на сайт не был произведен. Возможно вы ввели неверное имя пользователя или пароль.
-----------------------------------------------------------------------------------------------------------------------------
Решение - в файле \engine\inc\editusers.php нужно заменить строку
на
-----------------------------------------------------------------------------------------------------------------------------
Внимание, вход на сайт не был произведен. Возможно вы ввели неверное имя пользователя или пароль.
-----------------------------------------------------------------------------------------------------------------------------
Решение - в файле \engine\inc\editusers.php нужно заменить строку
$regpassword = md5($regpassword);на
$regpassword = md5(md5($regpassword));Календарь
| « Август 2019 » | ||||||
|---|---|---|---|---|---|---|
| Пн | Вт | Ср | Чт | Пт | Сб | Вс |
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
Опрос на сайте
Совершаете ли вы покупки в интернет?