Перейти к контенту

[IPB 1.3.x и 2.0.x] Обновление безопасности


Рекомендуемые сообщения

IPS PR опубликовала обновление безопасности для IPB версий 1.3.x и 2.0.x!

 

Обновление касается двух файлов "sources/post.php" и "sources/lib/usercp_functions.php".

 

Инструкции по обновлению для IPB 2.0.x

sources/post.php (Line: 579)

Найти:

//-----------------------------------------
// Add to mail queue
//-----------------------------------------

$DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['tt_subject'], 'mail_content' => $this->email->message ) );

Заменить:

//-----------------------------------------
// Add to mail queue
//-----------------------------------------

$DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['tt_subject'], 'mail_content' => [b]$std->txt_safeslashes([/b]$this->email->message[b])[/b] ) );

 

sources/post.php (Line: 693)

Найти:

$DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['ft_subject'], 'mail_content' => $this->email->message ) );

Заменить:

$DB->do_insert( 'mail_queue', array( 'mail_to' => $r['email'], 'mail_date' => time(), 'mail_subject' => $ibforums->lang['ft_subject'], 'mail_content' => [b]$std->txt_safeslashes([/b]$this->email->message[b])[/b] ) );

 

sources/lib/usercp_functions.php (Line: 948)

Найти:

//-----------------------------------------
// Check to make sure we don't just have
// http:// in the URL box..
//-----------------------------------------

if ( preg_match( "/^http:\/\/$/i", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}

if ( empty($ibforums->input['url_avatar']) )

Заменить:

//-----------------------------------------
// Check to make sure we don't just have
// http:// in the URL box..
//-----------------------------------------

if ( preg_match( "/^http:\/\/$/i", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}

[b]if ( preg_match( "#javascript:#is", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}[/b]

if ( empty($ibforums->input['url_avatar']) )

 

Инструкции по обновлению для IPB 1.3.x

sources/Post.php : Нет необходимости исправлений для 1.3.x

 

sources/lib/usercp_functions.php (Line: 705)

Найти:

//-----------------------------------------
// Check to make sure we don't just have
// http:// in the URL box..
//-----------------------------------------

if ( preg_match( "/^http:\/\/$/i", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}

if ( empty($ibforums->input['url_avatar']) )

Заменить:

//-----------------------------------------
// Check to make sure we don't just have
// http:// in the URL box..
//-----------------------------------------

if ( preg_match( "/^http:\/\/$/i", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}

[b]if ( preg_match( "#javascript:#is", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}[/b]

if ( empty($ibforums->input['url_avatar']) )

Ссылка на комментарий
Поделиться на других сайтах

Отдельная благодарность за обнаружение ошибок пользователям нашего форума: NvG (SQL Injection) и в какой то мере lol1k (CSS/XSS Injection)
Ссылка на комментарий
Поделиться на других сайтах

Гость
Эта тема закрыта для публикации сообщений.
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.