Совсем недавно была обнаружена уязвимость, связанная с недостаточной фильтрацией выводимой информации, которая даёт возможность просмотра конфигурационных данных системы.
Уязвимости подвержены версии: SLAED CMS Pro, Open SLAED, SLAED CMS Lite Степень опасности: Высокая
Устранение уязвимости версии SLAED CMS 4 Pro и выше, Open SLAED всех версий.
Вариант 1
Скачайте актуальную версию системы, возьмите из неё файл: function/user.php и замените им свой. (Только для актуальной версии, для более ранних, вариант 2!)
Вариант 2
Если Вы вносили, какие либо изменения в данный файл, в таком случае откройте: function/user.php
Найдите участок кода: $userblock = bb_decode($userblock, "account"); Замените его на: $userblock = bb_decode(str_replace("$", "$", $userblock), "account");
Устранение уязвимости версии SLAED CMS 3.3-3.5 Pro.
Откройте файл: function/user.php Найдите участок кода: $userblock = bb_decode($userblock, $conf['name']); Замените его на: $userblock = bb_decode(str_replace("$", "$", $userblock), $conf['name']);
я данную уязвимость сам не тестил.. но понял ее смысл.. и поправил ))еше когда пользователь на лаеде об этой уязвимости писал.. а пед даже спасибо тому пользователю не сказал, я больше чем уверен ))
ЦИТАТА
Я думаю что это ещё не всё.
таки да )
Сообщение отредактировал turbu: Nov 24 2010, 11:43
Да вы гоните . Могу каждому рассказать у кого какой пароль от базы и так далее .
ЦИТАТА
я данную уязвимость сам не тестил.. но понял ее смысл.. и поправил ))еше когда пользователь на лаеде об этой уязвимости писал.. а пед даже спасибо тому пользователю не сказал, я больше чем уверен ))
Ты ошибаешься. Сказал не только спасибо .......
А та защита которую он предложил не 100% если у вас стоят "левые" блоки или модули