Вход

View Full Version : Уязвимость в Topic Calendar 1.0.1 для phpBB


Soniks
24.03.2005, 23:50
Продукт можете просмотреть здесь: http://phpbb.com/phpBB/viewtopic.php?t=150857

В коде была найдена ошибка проверки переменнов, в результате которой злоумышленник мог произвести XSS атаку.

Устраняем баг.
Откройте calendar_scheduler.php
Найдите (82):
if ( isset($HTTP_POST_VARS['start']) || isset($HTTP_GET_VARS['start']) )
{
$start = isset($HTTP_POST_VARS['start']) ? $HTTP_POST_VARS['start'] :
$HTTP_GET_VARS['start'];
}

Замените на:
if ( isset($HTTP_POST_VARS['start']) || isset($HTTP_GET_VARS['start']) )
{
$start = isset($HTTP_POST_VARS['start']) ? $HTTP_POST_VARS['start'] :
$HTTP_GET_VARS['start'];
$start = intval($start)
}