Обнаружены уязвимости в модах системы личных сообщений и Add Topic Title Info to Last Post column on Main Page. (содержатся в файле для скачивания punbb 1.2.14 + моды на нашем сайте)
Уязвимость в службе приватных сообщений, позволяющая злоумышленнику отправить приватное сообщение любому пользователю форума от имени любого другого пользователя.
Всем администраторам, имеющим на форуме мод приватных сообщений рекомендуется добавить в файл message_send.php после строки ~36 содержащей:
if (isset($_POST['form_sent']))
{
следующую строку, если её там нет:
Код:
confirm_referrer('message_send.php');
Уязвимость в моде Add Topic Title Info to Last Post column on Main Page. Отсутствие конвертирования хтмл-сущностей может повлечь массовую кражу cookie, с последующим получением злоумышленником доступа вплоть до админ-центра.
Всем установившим этот мод необходимо обязательно сделать следующее:
1. открыть index.php
2. найти строку:
$last_post = ''.$cur_forum['subject'].' '.format_time($cur_forum['last_post']).' - '.$lang_common['by'].' '.pun_htmlspecialchars($cur_forum['last_poster']).''; 3. в этой строке заменить:
$cur_forum['subject']
на это:
pun_htmlspecialchars($cur_forum['subject']) Источник: punbb.ru PS. Разумеется, архив Punbb 1.2.14 + моды на нашем сайте подобной уязвимости уже не содержит.
| 
