Forum. MyNuke.ru

Forum. MyNuke.ru (http://forum.mynuke.ru/index.php)
-   Уязвимости Защиты (http://forum.mynuke.ru/forumdisplay.php?f=15)
-   -   PHP-Nuke Submit News XSS (http://forum.mynuke.ru/showthread.php?t=1113)

Soniks 13.01.2006 01:42

PHP-Nuke Submit News XSS
 
Продукт: PHP-NUKE

Версия: 7.9 и ниже

Затронуты файлы: modules/Submit_News/index.php

Описание Уязвимости: При добавлении новостей на сайт, злоумышленник может внедрить XSS код, тем самым заполучить права администратора или же пользователей.

Устраняем уязвимость:

Находим:
PHP код:
 $result $db->sql_query("INSERT INTO ".$prefix."_queue VALUES (NULL, '$uid', '$name', '$subject', '$story', '$storyext', now(), '$topic', '$alanguage')"); 

Заменяем на:
PHP код:
 $result $db->sql_query("INSERT INTO ".$prefix."_queue VALUES (NULL, '$uid', '$name', '$subject', '".htmlspecialchars($story)."', '".htmlspecialchars($storyext)."', now(), '".intval($topic)."', '$alanguage')"); 


Часовой пояс GMT +4, время: 11:55.

Copyright © 2005 by Soniks