Недостатня фільтрація вхідних даних

Проблема: Недостатня фільтрація вхідних даних.Помилка у версії: всі версіїСтупінь небезпеки: СередняРучне виправлення:Відкрийте файл: engine/classes/parse.class.phpзнайдіть: $find= array( /about:/si,

Самодостатні XSS атаки

Проблема: Назва самодостатній XSS повністю пояснює тип атаки. Ця атака не вимагає наявності XSS уразливості в веб додатку. Все, що потрібно для її проведення міститься в одному URL. Після виконання URL ресурс буде автоматично ассемблирован.Помилка у версії: Всі версії не нижче 5.0Ступінь небезпеки: ВисокаУвагу зверніть увагу що це новий тип атак, і на даний момент вразливе більшість різних скриптів, тому звертайте увагу на всі посилання, які ви натискаєте.

Недостатня фільтрація вхідних даних

Проблема: яким дозволена Користувачеві завантаження файлів на сервер (не картинок), може вийти за межі дозволеної папки завантаження, а якщо він має адміністраторський аккаунт на сайті, то і пошкодити дані скрипта.Помилка у версії: 7.x - 8.5Ступінь небезпеки: Середня (Висока при наявності адміністраторського аккаунта на сайті)Для виправлення відкрийте файл engine/inc/files.php і знайдіть:$serverfile = trim( htmlspecialchars( strip_tags( $_POST[serverfile] ) ) );замінити на: if ($member_id[user_group] == 1) $serverfile = trim( htmlspecialchars( strip_tags( $_POST[serverfile] ) ) ); else $serverfile = ;

Недостатня фільтрація вхідних даних

Проблема: Недостатня фільтрація вхідних даних при обробці новин.Помилка у версії: 8.0 і нижчеСтупінь небезпеки: НизькаРучне виправлення:Відкрийте файл: engine/classes/parse.class.phpзнайдіть: if( ((strpos( strtolower( $attrSubSet[1] ), expression ) !== false) && ($attrSubSet[0] == style)) || (strpos( strtolower( $attrSubSet[1] ), javascript: ) !== false) || (strpos( strtolower( $attrSubSet[1] ), behaviour: ) !== false) || (strpos( strtolower( $attrSubSet[1] ), vbscript: ) !== false) || (strpos( strtolower( $attrSubSet[1] ), mocha: ) !== false) || (strpos( strtolower( $attrSubSet[1] ), data: ) !== false and $attrSubSet[0] == href) || ($attrSubSet[0] = = href and strpos( strtolower( $attrSubSet[1] ), $config[admin_path] ) !== false and preg_match( /[?&%<[]]/, $attrSubSet[1] )) || (strpos( strtolower( $attrSubSet[1] ), livescript: ) !== false) ) continue;

Патчі безпеки для версії 9.7

Оновлений патч безпеки усуває всі виявлені раніше для версії 9.7 проблеми безпеки. В доповнення від випущених раніше патчів для версії 9.7, в даному патчі використовується більш покращений алгоритм фільтрації в шаблонів, що дозволяє усунути деякі несумісності з іншими модулями і низку деяких інших проблем, повязаних виключно з версією 9.7.

Недостатня фільтрація вхідних даних

Проблема: Недостатня фільтрація вхідних даних.Помилка у версії: всі версіїСтупінь небезпеки: СередняРучне виправлення:Відкрийте файл: engine/inc/functions.inc.phpзнайдіть:function check_xss () { $url = html_entity_decode(urldecode($_SERVER[QUERY_STRING]));

Патчі безпеки для версій 9.6 і нижче

Проблема: Проведення SQL інєкцій, у разі ігнорування адміністратором сайту повідомлення в адмінпанелі скрипта, про неприпустимість включення на сервері небезпечною налаштування register_globals, а також можливість обходу коду безпеки CAPTCHA при реєстрації.Помилка у версії: 9.6 та все більш ранні версіїСтупінь небезпеки: Висока при використанні включеної налаштування register_globals, відсутня при виконанні рекомендацій щодо відключення даної установки в налаштуваннях сервера.