/ / / Уязвимость от 18.08.2006
август 18 2006

Уязвимость от 18.08.2006

Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.

Степень тяжести: средняя

Исправление предназначено для версий 4.1, 4.2 и 4.3

Метод исправления:

Файл engine/modules/addcomments.php

найти
$name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail']));


заменить на
$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));

Комментарии

xsash

xsash

18 августа 2006 19:12 Посетители
0
ну тогда наверно и в модуле pm.php нужно заменить

$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));$subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));


на

$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));$subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));


или не нужно? o_O
xsash

xsash

18 августа 2006 19:13 Посетители
0
ну вот, еще один лаг найден. не переводит в "больше" и"меньше"
Link

Link

19 августа 2006 17:21 Клиенты
0
В файле engine/modules/pm.php нужно заменить эти строки


$name = $parse->safeSQL($parse->process($_POST['name']));
$subj = $parse->safeSQL($parse->process($_POST['subj']));


на вот эти


$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$subj = $parse->safeSQL(htmlspecialchars($parse->process($_POST['subj'])));
celsoft

celsoft

19 августа 2006 21:21 Администраторы
0
Не надо делать лишних вещей, указано что баг имеет место только с неавторизованными пользователями. Поэтому не надо считать что везде где есть эти строки это это баг. ПМ недоступен для незарегистрированных пользователей.
Mr 13

Mr 13

30 мая 2007 13:49 Посетители
0
Ок.

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Календарь
«    Декабрь 2017    »
ПнВтСрЧтПтСбВс
 123
45678910
11121314151617
18192021222324
25262728293031
Опрос на сайте
Совершаете ли вы покупки в интернет?

Популярные новости
Архив новостей
Ноябрь 2017 (3)
Сентябрь 2017 (2)
Август 2017 (5)
Июль 2017 (1)
Июнь 2017 (1)
Апрель 2017 (3)