- 19, Nov 2012
- #1
Найдена очередная уязвимость в DLE.
Патч устраняет проблему SQL инъекций в случае включенного на хостинге register_globals. Также данный патч закрывает возможность обхода капчи при регистрации.
Степень опасности - высокая.
Для версии 9.7 скачиваем патч во вложении.
Для всех остальных, более ранних версий правим скрипт руками.
Открыть файл engine/modules/sitelogin.php ищем:
Открыть engine/init.php и найти:
Открыть файл engine/modules/functions.php и найти:
Скрытая информация :: Авторизуйтесь для просмотра »
Открыть файл engine/modules/sitelogin.php ищем:
$dle_login_hash = ""; $_TIME = time () + ($config['date_adjust'] * 60); if( $member_id['user_id'] ) { session_regenerate_id(); $member_id = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE user_id='" . intval( $_COOKIE['dle_user_id'] ) . "'" ); session_regenerate_id();Открыть engine/init.php и найти:
if (in_array ( $_POST['dlenewssortby'], $allowed_sort )) { if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort, "dle_sort_") === 0) {Открыть файл engine/modules/functions.php и найти:
global $tpl; if (!class_exists('dle_template')) {
return;
}Скрытая информация :: Авторизуйтесь для просмотра »
![[Романов Альберт] Школа Разведчиков [2014]](/assets/images/icons/forum1.png){kind=icon}
![[Дэвид Стивенсон] Лайфхаки богатых людей. 50 способов разбогатеть](/assets/images/icons/forum5.png){kind=icon}
