Важно Уязвимость dle 11.1 и ниже недостаточная фильтрация данных

Тема в разделе "Модули / Хаки", создана пользователем Limbo, 3 мар 2017.

  1. TopicStarter Overlay
    Limbo

    Limbo
    Отправить ЛС

    Регистрация:
    2 мар 2017
    Сообщения:
    12
    Симпатии:
    1
    Баллы:
    3
    Проблема: Недостаточная фильтрация данных.

    Ошибка в версии: 11.1 и ниже ( то есь если у вас DLE 11.0 или 10.0 не важно какая но НИЖЕ чем 11.2 нужно исправлять.)

    Степень опасности: Высокая


    Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

    Иными словами ваш сайт могут взломать и выполнять другой код которого не было на сервере!

    Для исправления откройте файл: /engine/classes/parse.class.php и найдите:
    PHP:
    if( preg_match"/[?&;%<\[\]]/"$url ) ) {
                if( 
    $align != "" ) return "[img=" $align "]" $url "[/img]";
                else return 
    "[img]" $url "[/img]";
     }
    замените на
    PHP:
    if( preg_match"/[?&;%<\[\]]/"$url ) ) {
                return 
    $matches[0];
    }

    Ссылка на новость с официального сайта
    http://dle-news.ru/bags/v11/1706-nedostatochnaya-filtraciya-dannyh.html
     
    Последнее редактирование модератором: 24 июн 2017