Вход

View Full Version : PHP-Nuke Submit News XSS


Soniks
13.01.2006, 01:42
Продукт: PHP-NUKE

Версия: 7.9 и ниже

Затронуты файлы: modules/Submit_News/index.php

Описание Уязвимости: При добавлении новостей на сайт, злоумышленник может внедрить XSS код, тем самым заполучить права администратора или же пользователей.

Устраняем уязвимость:

Находим:
$result = $db->sql_query("INSERT INTO ".$prefix."_queue VALUES (NULL, '$uid', '$name', '$subject', '$story', '$storyext', now(), '$topic', '$alanguage')");

Заменяем на:
$result = $db->sql_query("INSERT INTO ".$prefix."_queue VALUES (NULL, '$uid', '$name', '$subject', '".htmlspecialchars($story)."', '".htmlspecialchars($storyext)."', now(), '".intval($topic)."', '$alanguage')");