/ / / Уязвимость от 18.08.2006
август 18 2006

Уязвимость от 18.08.2006

Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.

Степень тяжести: средняя

Исправление предназначено для версий 4.1, 4.2 и 4.3

Метод исправления:

Файл engine/modules/addcomments.php

найти
$name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail']));


заменить на
$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));

Комментарии

xsash

xsash

18 августа 2006 19:12 Посетители
0
ну тогда наверно и в модуле pm.php нужно заменить

$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));$subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));


на

$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));$subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));


или не нужно? o_O
xsash

xsash

18 августа 2006 19:13 Посетители
0
ну вот, еще один лаг найден. не переводит в "больше" и"меньше"
Link

Link

19 августа 2006 17:21 Клиенты
0
В файле engine/modules/pm.php нужно заменить эти строки


$name = $parse->safeSQL($parse->process($_POST['name']));
$subj = $parse->safeSQL($parse->process($_POST['subj']));


на вот эти


$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));
celsoft

celsoft

19 августа 2006 21:21 Администраторы
0
Не надо делать лишних вещей, указано что баг имеет место только с неавторизованными пользователями. Поэтому не надо считать что везде где есть эти строки это это баг. ПМ недоступен для незарегистрированных пользователей.
Mr 13

Mr 13

30 мая 2007 13:49 Посетители
0
Ок.

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Май 2017    »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
293031 
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Апрель 2017 (3)
Март 2017 (2)
Февраль 2017 (1)
Январь 2017 (1)
Декабрь 2016 (3)
Ноябрь 2016 (3)