Артём Мáлков

Недостаточная фильтрация данных в DLE 12.1 и ниже

25 фев0 коммАртём Мáлков

С недавнего времени в CMS DataLife Engine найдена еще одна брешь в фильтрации данных. Проблема выявлена в старых версиях движка и в новых, вплоть до версии 12.1.

Дополнительная информация:

Проблема: Недостаточная фильтрация входящих данных, которая может привести к потенциальной угрозе XSS-атаки.
Ошибка в версии: 12.1 и ниже.
Степень опасности: высокая.

Решение проблемы

1. Подключитесь к вашему сайту по FTP.

2. В папке /engine/classes/ откройте файл parse.class.php и найдите в нем:

function clear_url($url) {
global $config;

После чего ниже вставьте:

$url = str_replace(array("{", "}", "[", "]"), array("%7B", "%7D", "%5B", "%5D"), $url);

Сохраните изменения и отправьте файл обратно на сайт.

3. Очистите кэш сайта. На этом закрытие уязвимости окончено.

Рекомендуем к просмотру
Недостаточная фильтрация данных в DLE 11.3 и ниже
Хаки
Недостаточная фильтрация данных в DLE 11.2 и ниже
Хаки
Недостаточная фильтрация данных в DLE 11.1 и ниже
Хаки
0
комментариев
Форма комментирования этого поста скрыта. Авторизуйтесь, чтобы расширить привилегии гостевого посещения и получить необходимую помощь от сообщества Pandoge.
Подняться наверх
Регистрация на сайте
Pandoge - уникальный проект, который собрал на своих страницах большой опыт многих людей в сфере сайтостроения.Присоединяйся и ты к сообществу, получай неограниченные знания и начинай творить свою мечту!Нажимая кнопку «Регистрация» вы даете согласие на обработку своих персональных данных.
Имя и фамилия
E-mail
Логин
Пароль
Регистрация
Pandoge