Обновление безопасности

[ipb323]

Выявлена проблема в последнем патче. Перестают работать предупреждения у модераторов, т.ч. не торопитесь устанавливать.

Если конкретно, то вот эта конструкция всё портит:

if ( $this->request['secure_key'] != $this->member->form_hash )
{
$this->registry->output->showError( 'no_permission', 10264.1, null, null, 403 );
}

Изменено 20 Февраля 2017 пользователем ipb323

[Design_Nick]

Поздно. И откатить не могу. Есть у кого доступ к НЕ исправленным файлам?

 

IP.Board 3.4.6

Изменено 23 Февраля 2017 пользователем Design_Nick

[Denis Chursinov]

Эта конструкция ничего не портит. Она и есть патч безопасности. Уже много патчей во всех шаблонах добавлялись хэш-коды для защиты форм от CSRF. Если вы используете устаревшие стили внешнего вида или не обновили базовый стиль ранее, то добавьте хэш в форму отправки предупреждения:
 

1. Найдите шаблон addWarning в разделе Профили пользователей вашего стиля внешнего вида. 

2. Найдите начало формы. Строка вида

 <input type='hidden' name='from_id2' value='{$this->request['from_id2']}' />

 . После нее добавьте параметр хеш-кода

 <input type='hidden' name='secure_key' value='{$this->member->form_hash}' />

 .