Недостаточная фильтрация данных в DLE 12.1 и ниже
С недавнего времени в CMS DataLife Engine найдена еще одна брешь в фильтрации данных. Проблема выявлена в старых версиях движка и в новых, вплоть до версии 12.1.
Дополнительная информация:
Проблема: Недостаточная фильтрация входящих данных, которая может привести к потенциальной угрозе XSS-атаки.
Ошибка в версии: 12.1 и ниже.
Степень опасности: высокая.
Решение проблемы
1. Подключитесь к вашему сайту по FTP.
2. В папке /engine/classes/ откройте файл parse.class.php и найдите в нем:
function clear_url($url) {
global $config;
После чего ниже вставьте:
$url = str_replace(array("{", "}", "[", "]"), array("%7B", "%7D", "%5B", "%5D"), $url);
Сохраните изменения и отправьте файл обратно на сайт.
3. Очистите кэш сайта. На этом закрытие уязвимости окончено.