Soniks
24.03.2005, 23:50
Продукт можете просмотреть здесь: http://phpbb.com/phpBB/viewtopic.php?t=150857
В коде была найдена ошибка проверки переменнов, в результате которой злоумышленник мог произвести XSS атаку.
Устраняем баг.
Откройте calendar_scheduler.php
Найдите (82):
if ( isset($HTTP_POST_VARS['start']) || isset($HTTP_GET_VARS['start']) )
{
$start = isset($HTTP_POST_VARS['start']) ? $HTTP_POST_VARS['start'] :
$HTTP_GET_VARS['start'];
}
Замените на:
if ( isset($HTTP_POST_VARS['start']) || isset($HTTP_GET_VARS['start']) )
{
$start = isset($HTTP_POST_VARS['start']) ? $HTTP_POST_VARS['start'] :
$HTTP_GET_VARS['start'];
$start = intval($start)
}
В коде была найдена ошибка проверки переменнов, в результате которой злоумышленник мог произвести XSS атаку.
Устраняем баг.
Откройте calendar_scheduler.php
Найдите (82):
if ( isset($HTTP_POST_VARS['start']) || isset($HTTP_GET_VARS['start']) )
{
$start = isset($HTTP_POST_VARS['start']) ? $HTTP_POST_VARS['start'] :
$HTTP_GET_VARS['start'];
}
Замените на:
if ( isset($HTTP_POST_VARS['start']) || isset($HTTP_GET_VARS['start']) )
{
$start = isset($HTTP_POST_VARS['start']) ? $HTTP_POST_VARS['start'] :
$HTTP_GET_VARS['start'];
$start = intval($start)
}