Обнаружена новая угроза в новостном движке DataLife Engine 10.0 - 8.5 для всех версий . Это сообщение пришло недавно от разработчиков скрипта. Основная проблема связана с недостаточной фильтрацией данных в модуле сжатия файлов Minify, который входит в состав DLE. При определенных условиях может злоумышленникам позволить читать содержимое файлов серверного ПО. Степень опасности: Высокая, установка делается с помощью одной вставки.
Внимание! После установки данного исправления может пропасть функция редактирования и удаления новостей, чтобы исправить очистите кеш, всё снова заработает.
Устраняем угрозу в DLE 10.0 - 8.5
Ошибка в версии: 8.5 - 10.0
Степень опасности: Высокая
Для исправления откройте файл: /engine/classes/min/index.php и в самое начало файла после строчки:
<?phpдобавьте:
PHP:
if (isset($_GET['f'])) {
$_GET['f'] = str_replace(chr(0), '', (string)$_GET['f']);
} Источник данного сообщения.
Стоит отметить, что это угроза не в самом ДЛЕ, а есть вы используете стороннюю библиотеку Minify. Если Вы используете Minify на своих ресурсах, достаточно сделать обновление новой версии по следующей ссылке
Комментарии 11