Shaolin dnia 23 grudnia 2005 20:38 · 0 komentarzy · 6791 czytań ·

@Digitanium: Ostatnio otrzyma?em raporty o 3 exploitach, 2 z nich mo?na zaliczy? do wa?nych. Przede wszystkim members.php posiada?o bl?d, który mo?na by?o wykorzysta? poprzez manipulacj? zmienn? $sortby w adresie URL (za?atane). By?o te? potencjalne ryzyko z?ego wykorzystania zmiennej $_POST['rating'] w ratings_include.php - to równie? zosta?o ju? naprawione. W ko?cu, istnieje problem z tagami [IMG] w maincore.php - mo?na je oszuka? zaka?czaj?c nazw? jakiegokolwiek folderu rozszerzeniem obrazka. To bardzo powa?ny b??d zw?aszcza, gdy admin odczyta wiadomo?? zawieraj?c? tak spreparowany "obrazek". Szuka?em rozwi?zania bardzo d?ugo, jednak sposób, w jaki uda?o mi si? poprawi? ten b??d nie jest wystarczaj?cy... Uwierzcie mi jednak, w chwili obecnej to najlepsze, co mog? zrobi?. B??d ten dotyka równie? v6.00.2xx, wi?cej informacji znajdziecie w CVSie.

Pobierz ?atk? [PHP-Fusion v6.00.301 update]