Shaolin dnia 23 grudnia 2005 20:38 · 0 komentarzy · 6609 czytań ·

@Digitanium: Ostatnio otrzymałem raporty o 3 exploitach, 2 z nich można zaliczyć do ważnych. Przede wszystkim members.php posiadało bląd, który można było wykorzystać poprzez manipulację zmienną $sortby w adresie URL (załatane). Było też potencjalne ryzyko złego wykorzystania zmiennej $_POST['rating'] w ratings_include.php - to również zostało już naprawione. W końcu, istnieje problem z tagami [IMG] w maincore.php - można je oszukać zakańczając nazwę jakiegokolwiek folderu rozszerzeniem obrazka. To bardzo poważny błąd zwłaszcza, gdy admin odczyta wiadomość zawierającą tak spreparowany "obrazek". Szukałem rozwiązania bardzo długo, jednak sposób, w jaki udało mi się poprawić ten błąd nie jest wystarczający... Uwierzcie mi jednak, w chwili obecnej to najlepsze, co mogę zrobić. Błąd ten dotyka również v6.00.2xx, więcej informacji znajdziecie w CVSie.

Pobierz łatkę [PHP-Fusion v6.00.301 update]