Referer SQL-инъекция в PHP-Nuke
Продукт: PHP-Nuke
Версия: 8.0 и ниже Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные SQL команды в базе данных приложения. Уязвимость существует из-за недостаточной обработки входных данных в поле "referer" в HTTP заголовке. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные SQL команды в базе данных приложения. Информация http://www.securitylab.ru Устранение: Добавляем проверку данной переменной. Открываем: mainfile.php Находим: PHP код:
Выше добавляем: PHP код:
Советуем проделать данную операцию на всех указанных версиях PHP-NUKE (на данный момент), т.к. дыра есть и очень легко ей воспользоваться, если сервер хостинга не настроен должным образом (что мало вероятно) |
здравствуйте,
у меня нет этой строчки. возможно из-за того что я удалили статистику рефералов. что делать, куда код вставлять? или может, раз рефералы не учитываются, то и опасности нет никакой? |
тогда добавьте это выше строчке
PHP код:
|
уважаемый Sonics,
после после внесения указанных в первом посте изменений в систему PHPNuke 7.9 3.2 постояннно получаю следующую ошибку: PHP код:
там у меня как раз та строчка, которую рекомендовали вставить. отмечу вставлял нужный код как раз до PHP код:
т.е. с моим предыдущим вопросом это никак не связано. Подскажите, как это можно вылечить? |
Anibus подправил первый пост
|
спасибо!
|
Часовой пояс GMT +4, время: 17:09. |
Copyright © 2005 by Soniks