Загрузка. Пожалуйста, подождите...
 Разделы ПрочееДрузья |
При регистрации нового посетителя если используется упрощенная
регистрация без отправки уведомления на E-Mail то шифрование пароля
происходит по старому алгоритму.
Ошибка в версии: 4.3 в файле engine/modules/register.php найти <!-- code1 -->
<!--
ecode1
-->
$idlink = urlencode(base64_encode ($name."||".$email."||".$password1));
<!--
code2
-->
<!--
ecode2
-->
заменить на <!-- code1 --> <!-- ecode1 --> $idlink = urlencode(base64_encode ($name."||".$email."||".md5($password1)));
Проведение XSS атаки
Степень тяжести: средняя Исправление предназначено для версий 4.1 и 4.2 Метод исправления: Файл engine/modules/vote.php найти <!-- code1 -->
<!--
ecode1
-->
if (isset ($_REQUEST['vote_id'])) $vote_id = mysql_escape_string($_REQUEST['vote_id']); else $vote_id = "";
<!--
code2
-->
<!--
ecode2
-->
заменить на <!-- code1 -->
<!--
ecode1
-->
if (isset ($_REQUEST['vote_id'])) $vote_id = intval($_REQUEST['vote_id']); else $vote_id = 0;
<!--
code2
-->
<!--
ecode2
-->
Далее найти <!-- code1 -->
<!--
ecode1
-->
if ($vote_id == "")
<!--
code2
-->
<!--
ecode2
-->
заменить на <!-- code1 -->
<!--
ecode1
-->
if (!$vote_id OR $vote_info[$vote_id]['id'] == "")
<!--
code2
-->
<!--
ecode2
-->
sql-инъекция
найти в файле engine/init.php <!-- code1 -->
<!--
ecode1
-->
if
(isset($_REQUEST['user'])) $user = urldecode
(mysql_escape_string(strip_tags (preg_replace('[([/]+)$]', '',
$_GET['user']))));
<!--
code2
-->
<!--
ecode2
-->
заменить на <!-- code1 -->
<!--
ecode1
-->
if
(isset($_REQUEST['user'])) $user = mysql_escape_string(strip_tags
(preg_replace('[([/]+)$]', '', urldecode($_GET['user']))));
<!--
code2
-->
<!--
ecode2
-->
Обновлять необходимо все версии.
Баг: неработает RSS для отдельной категории.
Исправление: замените файл engine/rss.php на прикрепленный. |
 Регистрация 
ПартнерыОпрос
Как вам новый дизайн?
|
