Проблема: Обнаружен недочет в обработке тега [code] в новостях и комментариях. Если данный тег присутствует несколько раз, то он будет заменен на один и тот же текст

Ошибка в версии: 4.5

Исправление в подробностях, все дистрибутивы были обновлены.

Пользовательская часть, главная страница

Административная панель, главная страница


Административная панель, добавление новостей

При желании можно включить в настройках WYSIWYG редактор

или другой визуальный редактор

Административная панель, список дополнительных разделов

Административная панель, настройка скрипта

Да да уважаемые посетители, не удивляйтесь, мы решили перейти на использование нового доменного имени для официального сайта DataLife Engine. Это решение не планировалось, но было принято в связи с тем что старое имя во первых третьего уровня, что не придает солидности проекту, во вторых никак не созвучно с именем движка, поэтому было решено использовать короткое и удобное имя для нашего сайта. Итак https://dle-news.ru/ теперь официальный домен сайта поддержки DataLife Engine. Очень надеемся что новое имя придется вам по душе и вы с удовольствием его будете использовать.

Уважаемые посетители,

Мы готовы предоставить вам список реализованых функций в следующей версии DataLife Engine v.4.5.

Список получился детальным и большим, поэтому читайте обо всех нововведениях в "Подробнее"

Тип уязвимости: Проведение XSS атаки на удаленный сервер. Уязвимость возможна только при разрешении добавление комментариев для незарегистрированных пользователей.

Степень тяжести: средняя

Исправление предназначено для версий 4.1, 4.2 и 4.3

Метод исправления:

Файл engine/modules/addcomments.php

найти

$name = $parse->safeSQL($parse->process($_POST['name']));
$mail = $parse->safeSQL($parse->process($_POST['mail']));

заменить на

$name = $parse->safeSQL(htmlspecialchars($parse->process($_POST['name'])));
$mail = $parse->safeSQL(htmlspecialchars($parse->process($_POST['mail'])));