Недостаточная фильтрация данных в DLE 12.1 и ниже

С недавнего времени в CMS DataLife Engine найдена еще одна брешь в фильтрации данных. Проблема выявлена в старых версиях движка и в новых, вплоть до версии 12.1.

Дополнительная информация:

Проблема: Недостаточная фильтрация входящих данных, которая может привести к потенциальной угрозе XSS-атаки.
Ошибка в версии: 12.1 и ниже.
Степень опасности: высокая.

Решение проблемы

1. Подключитесь к вашему сайту по FTP.

2. В папке /engine/classes/ откройте файл parse.class.php и найдите в нем:

function clear_url($url) {
global $config;

После чего ниже вставьте:

$url = str_replace(array("{", "}", "[", "]"), array("%7B", "%7D", "%5B", "%5D"), $url);

Сохраните изменения и отправьте файл обратно на сайт.

3. Очистите кэш сайта. На этом закрытие уязвимости окончено.