Важно Недостаточная фильтрация данных DLE 04.04.2017

[baga4]

Уведомляем вас, что сегодня 4 апреля 2017, был обновлен и дополнен выпущенный ранее 6 марта 2017 патч безопасности для DataLife Engine предназначенный для всех версий. Мы настоятельно рекомендуем вам проверить и установить обновленный патч, как можно раньше.

Информацию о патче и вы можете увидеть на нашем сайте http://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.2 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/go.php и найдите:

$url = @str_replace ( "&", "&", $url );

ниже добавьте:

$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );
$url = str_replace ( "&", "&", $url );

Далее откройте файл: /engine/ajax/typograf.php и найдите:

$txt = trim( convert_unicode( $_POST['txt'], $config['charset'] ) );

ниже добавьте:

require_once ENGINE_DIR . '/classes/parse.class.php';
$parse = new ParseFilter();
$txt = $parse->process( $txt );
$txt = preg_replace( "/javascript:/i", "jаvascript:", $txt );
$txt = preg_replace( "/data:/i", "dаta:", $txt );

Сегодня, 13:06 внесены следующие изменения:
Патч обновлен и дополнен

 

[Cartmont]

Не могу понять, только почему ссылка на почту ведет

Я более того скажу, главное запоминать, что исправляете и зачем. Тогда профит обеспечен.
Иначе просто запутаетесь и ни к чему хорошему не приведет.
А за исправленный баг спасибо, забыл сказать в первом посте.

 

[Romantv]

потому что ссылка с почты скопирована,наверно на почту пришло уведомление

 

[baga4]

потому что ссылка с почты скопирована,наверно на почту пришло уведомление

Как в воду глядел!)

 

[Orange]

Спс, пофиксили

 

[byroot]

С последнего обновления обновлен только файл \engine\ajax\typograf.php, не надо вгонять людей в замешательство! Файл go.php был обновлен примерно месяц назад в архиве ДЛЕ на офф сайте.

 

[ettochno]

Да, /engine/go.php недавно исправлял. Спасибо за дополнение.

 

[Orange]

С последнего обновления обновлен только файл \engine\ajax\typograf.php, не надо вгонять людей в замешательство! Файл go.php был обновлен примерно месяц назад в архиве ДЛЕ на офф сайте.

Если ты слепой, то тут написано что это дополнение.

 

[byroot]

Если ты слепой, то тут написано что это дополнение.

Недостаточная фильтрация данных DLE 04.04.2017

PS всегда обожал левые дополнения особенно в ДЛЕ и как часто их выкладывают в обход офф сайта удачи

 

[Orange]

PS всегда обожал левые дополнения особенно в ДЛЕ и как часто их выкладывают в обход офф сайта удачи

может потому что там новость тоже была дополнена? Потому как в момент поста этой записи был фикс только для go.php

 

[Akimu]

Спасиб, пофиксили!

 

[alexbik]

Главное хорошо что исправили. А не доказывать, что там было и что стало.

 

[byroot]

может потому что там новость тоже была дополнена? Потому как в момент поста этой записи был фикс только для go.php

просто лень было сверять изменилось ли там что то или нет. ТСу надо было указывать откуда эта инфа поступила, а не просто выкатить её как снег на голову

 

[XVISTA]

Спасибо за статью.

 

[funai]

Спасибо