Степень опасность высокая в версиях DLE 11.1 и ниже

Раздел: DataLife Engine » Советы по DLE
Степень опасность высокая в версиях DLE 11.1 и ниже
Внимание! Разработчики DataLife Engine в который раз пропустили в коде серьезную уязвимость. Степень опасность высокая в версиях DLE 11.1 и ниже. В последний раз подобная уязвимость, позволяла получить полный доступ к базе данных MySQL, тем самым злоумышлении могли править базу данных MySQL и добавлять любую информацию, обходить защиту на сайте, получать права администратора, добавлять любой код в новости и т.д., подробнее об этом читаем здесь "Взлом DLE".

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.1 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/classes/parse.class.php и найдите:

		if( preg_match( "/[?&;%<\[\]]/", $url ) ) {

			if( $align != "" ) return "[img=" . $align . "]" . $url . "[/img]";
			else return "[img]" . $url . "[/img]";

		}


замените на

		if( preg_match( "/[?&;%<\[\]]/", $url ) ) {

			return $matches[0];

		}


Информация с официального сайта DLE-News
  • 80
Рубрика: Все для DLE » Советы по ДЛЕ
Ранее » Правила Rewrite для ЧПУ DLE на серверах под Nginx
Добавление комментарияОставить комментарий
  • № :4
  • 9 декабря 2016 16:51
Цитата: snamp
Да я вот про эту уязвимость, сам нашел уже


ПС в самом конце ссылка на статью, если кто ещё будет спрашивать
  • № :3
  • 9 декабря 2016 16:31
Да я вот про эту уязвимость, сам нашел уже
  • № :2
  • 9 декабря 2016 16:23
Цитата: snamp
На официальном сайте есть что нибудь?

На официальном сайте много чего есть, а вы о чем???? больше всего на форуме
  • № :1
  • 9 декабря 2016 15:56
На официальном сайте есть что нибудь?