Soniks
06.06.2005, 14:43
Уязвимость в PHP-NUKE 7.7/7.8 WYSIWYG!!
В PHP-NUKE версий 7.7 и 7.8 обнаружена серьезнейшая уязвимость, которая позволяет злоумышленнику в легкою иметь доступ к базе данных. Все это из-за того, что Francisco Burzi, включил в новые версии нюки WYSIWYG редактор, не убедившись в его безопасности.
В результате чего, все кто перешли на новые версии PHP-NUKE стали без защитными.
Выход из этой ситуачии пока один, отключить отображение этого редактора на сайте.
Так как Франциско не предусмотрел возможности полного отключения редактора в PHP-NUKE 7.7, мы это исправим самостоятельно:
Откройте файл includes/javascript.php
Найдите там:
if (is_admin($admin) AND defined('ADMIN_FILE') AND $advanced_editor == 1) {
Замените на:
if (is_admin($admin) AND defined('ADMIN_FILE') AND $advanced_editor == 1 AND !defined('NO_EDITOR')) {
Найдите:
} elseif (is_admin($admin) AND $advanced_editor != 1 AND !defined('IN_PHPBB')) {
Замените на:
} elseif (is_admin($admin) AND $advanced_editor != 1 AND !defined('IN_PHPBB') AND !defined('NO_EDITOR')) {
Найдите:
} elseif (($name != "Private_Messages" AND $name != "Forums") AND ($advanced_editor == 1 AND defined('MODULE_FILE'))) {
Замените на:
} elseif (($name != "Private_Messages" AND $name != "Forums") AND ($advanced_editor == 1 AND defined('MODULE_FILE') AND !defined('NO_EDITOR'))) {
Для полного отключения редактора на всем сайте, откройте файл config.php (для версия 7,7 и 7,8):
Найдите:
$advanced_editor = 0;
Ниже добавьте:
define('NO_EDITOR',true);
Если вы вдруг захотите опять же таки воспользоваться этим редактором, то удалите или закомментируйте эту строчку!
В PHP-NUKE версий 7.7 и 7.8 обнаружена серьезнейшая уязвимость, которая позволяет злоумышленнику в легкою иметь доступ к базе данных. Все это из-за того, что Francisco Burzi, включил в новые версии нюки WYSIWYG редактор, не убедившись в его безопасности.
В результате чего, все кто перешли на новые версии PHP-NUKE стали без защитными.
Выход из этой ситуачии пока один, отключить отображение этого редактора на сайте.
Так как Франциско не предусмотрел возможности полного отключения редактора в PHP-NUKE 7.7, мы это исправим самостоятельно:
Откройте файл includes/javascript.php
Найдите там:
if (is_admin($admin) AND defined('ADMIN_FILE') AND $advanced_editor == 1) {
Замените на:
if (is_admin($admin) AND defined('ADMIN_FILE') AND $advanced_editor == 1 AND !defined('NO_EDITOR')) {
Найдите:
} elseif (is_admin($admin) AND $advanced_editor != 1 AND !defined('IN_PHPBB')) {
Замените на:
} elseif (is_admin($admin) AND $advanced_editor != 1 AND !defined('IN_PHPBB') AND !defined('NO_EDITOR')) {
Найдите:
} elseif (($name != "Private_Messages" AND $name != "Forums") AND ($advanced_editor == 1 AND defined('MODULE_FILE'))) {
Замените на:
} elseif (($name != "Private_Messages" AND $name != "Forums") AND ($advanced_editor == 1 AND defined('MODULE_FILE') AND !defined('NO_EDITOR'))) {
Для полного отключения редактора на всем сайте, откройте файл config.php (для версия 7,7 и 7,8):
Найдите:
$advanced_editor = 0;
Ниже добавьте:
define('NO_EDITOR',true);
Если вы вдруг захотите опять же таки воспользоваться этим редактором, то удалите или закомментируйте эту строчку!