Важно Уязвимость dle 11.1 и ниже недостаточная фильтрация данных

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.1 и ниже ( то есь если у вас DLE 11.0 или 10.0 не важно какая но НИЖЕ чем 11.2 нужно исправлять.)

Степень опасности: Высокая

Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

Иными словами ваш сайт могут взломать и выполнять другой код которого не было на сервере!

Для исправления откройте файл: /engine/classes/parse.class.php и найдите:

PHP:

  if( preg_match( "/[?&;%<\[\]]/", $url ) ) {

            if( $align != "" ) return "[img=" . $align . "]" . $url . "[/img]";
            else return "[img]" . $url . "[/img]";

        }


замените на

PHP:

        if( preg_match( "/[?&;%<\[\]]/", $url ) ) {

            return $matches[0];

        }


Ссылка на новость с официального сайта
http://dle-news.ru/bags/v11/1706-nedostatochnaya-filtraciya-dannyh.html

 

@zenchik, ну я на всякий пожарный и сделал массовую рассылку ибо критическая уязвимость может погубить кучу сайтов...

 

Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.

 

@Расим, Обычно людей которые нацелены на разрушение а не созидание банят... так что не стоит разводить полемику о том как ею воспользоваться