Обнаружены уязвимости в модах системы личных сообщений и Add Topic Title Info to Last Post column on Main Page. (содержатся в файле для скачивания punbb 1.2.14 + моды на нашем сайте)
Уязвимость в службе приватных сообщений, позволяющая злоумышленнику отправить приватное сообщение любому пользователю форума от имени любого другого пользователя.
Всем администраторам, имеющим на форуме мод приватных сообщений рекомендуется добавить в файл message_send.php после строки ~36 содержащей:
if (isset($_POST['form_sent']))
{
следующую строку, если её там нет:
Код:
confirm_referrer('message_send.php');

Уязвимость в моде Add Topic Title Info to Last Post column on Main Page. Отсутствие конвертирования хтмл-сущностей может повлечь массовую кражу cookie, с последующим получением злоумышленником доступа вплоть до админ-центра.
Всем установившим этот мод необходимо обязательно сделать следующее:
1. открыть index.p ... Читать дальше »