Внимание! Разработчики DataLife Engine сообщили о новой серьезной уязвимости в версиях DLE 11.2 и ниже. Недостаточная фильтрация данных DLE 11.2 и ниже, степень опасность определена, как высокая.
Судя по всему данный вариант уязвимости, позволяет с помощью некоторых манипуляций создать запрос с целью смены скина (шаблона), минуя настройки вашего сервера, или если вы используете тег в шаблоне
{changeskin} Вставка формы для смены скинов на сайте
. Настоятельно советуем добавить заглушку.
Совсем недавно подобная уязвимость, позволяла получить полный доступ к базе данных MySQL, тем самым злоумышлении могли править базу данных MySQL и добавлять любую информацию, обходить защиту на сайте, получать права администратора, добавлять любой код в новости и т.д., подробнее об этом читаем здесь "Взлом DLE".
Недостаточная фильтрация данных
celsoft Баг Фиксы / версия DataLife Engine 11.2 2 225 В закладки
Проблема: Недостаточная фильтрация данных.
Ошибка в версии: 11.2 и ниже
Степень опасности: Высокая
Для исправления откройте файл: /engine/go.php и найдите:
$url = @str_replace ( "&", "&", $url );ниже добавьте
$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&", "&", $url );Информация с официального сайта DLE-News
Комментарии 2