Уязвимость DLE 11.1 и ниже

Сообщений: 909 Регистрация: Окт 2012

8 Декабря 2016 23:40

На сайте разработчика появилось информация о уязвимости движка DataLife Engine версии 11.1 и ниже.
Проблема: Недостаточная фильтрация данных
Степень опасности: Высокая

Исправляйте, кто ещё не исправил .
Найти в файле /engine/classes/parse.class.php

Код
if( preg_match( "/[?&;%<\[\]]/", $url ) ) { if( $align != "" ) return "[img=" . $align . "]" . $url . "[/img]"; else return "[img]" . $url . "[/img]"; }

Заменить на

Код
if( preg_match( "/[?&;%<\[\]]/", $url ) ) { return $matches[0]; }

Ссылка на оф. сообщение разработчика http://dle-news.ru/bags/v11/1706-nedostatochnaya-filtraciya-dannyh.html

Рекомендую хостинг и VPN в Европе от 56р.
Рекомендую хостинг в России от 220р.
Мой Сайт-Блог Климов Дмитрий .

Snoop Dogg

Сообщений: 897 Регистрация: Ноя 2015

9 Декабря 2016 05:57

Поправил) Теперь я защищен)))

ТУТ ЗАКАЗЫВАЮ ПОСТИНГ НА ФОРУМ

Prapovednik

Модератор

Сообщений: 65219 Регистрация: Мар 2010

9 Декабря 2016 13:44

по просьбе ТС в ЛС закрепил тему на некоторое время

Продвигай сайты ЛЮБОЙ тематики! Вечные ссылки и статьи.
*
Тренды SEO 2026: Как продвигать сайт и сделать его магнитом для посетителей (и поисковиков в придачу)

Diman_TS

Сообщений: 909 Регистрация: Окт 2012

14 Марта 2017 03:33

Новая уязвимость в 11.2 Ссылка на оф. сайт http://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.2 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/go.php и найдите:

Код
$url = @str_replace ( "&", "&", $url );

ниже добавьте

Код
$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] ); $url = str_replace ( "&", "&", $url );

Saybb

Сообщений: 1443 Регистрация: Мар 2013

14 Марта 2017 03:42

Исправлено )

Изменено: Saybb - 14 Марта 2017 03:45

Лучшая программа для проверки позиций сайта (15 дней теста бесплатно)

Сайт с онлайн трансляциями, плеерами и видео, Практика рабочая тема Яндекс

Принципал

Сообщений: 1305 Регистрация: Июл 2012

14 Марта 2017 04:57

Цитата
Diman_TS пишет: str_replace ( "&", "&", $url );

Смысл этого действия?

Diman_TS

Сообщений: 909 Регистрация: Окт 2012

2 Сентября 2017 00:00

Исправили ещё один баг, исправляйте https://dle-news.ru/bags/1726-nedostatochnaya-filtraciya-dannyh.html

Цитата

Принципал пишет:

Цитата
Diman_TS пишет: str_replace ( "&", "&", $url );

Смысл этого действия?

Это лучше к разработчикам.

Eye Сообщений: 22390 Регистрация: Май 2011	#8 2 Сентября 2017 00:32 Хммм... А для кого эта тема? Кто те люди, у которых сайт на ДЛЕ, но новости о ДЛЕ они не могут почитать на оф. сайте, и рассылка с оф. сайта не работает на важные новости и обновления? Просто катастрофа и нужно срочно перепосты искать! Мы не можем похвастаться мудростью глаз И умелыми жестами рук, Нам не нужно все это, чтобы друг друга понять. Сигареты в руках, чай на столе - так замыкается круг, И вдруг нам становится страшно что-то менять.

Новые темы	Объявления	Свободное общение
23:47 Апдейт 20.01: Позиции вернули? // Рынок рекламы падает 23:02 Монетизация пошла: OpenAI начинает крутить баннеры и ссылки в диалогах 22:59 16.01.2026. Пятничный откат, глюки с регионами и "Нейро" в товарке 22:39 Статистика по "альтернативе": Есть ли смысл сейчас добавлять сайт в Rambler/Mail? 10:25 че по ПФ щас реально работает?? (кроме старья) 10:22 Минус 30% дохода? Chrome теперь скрывает футерные баннеры (Sticky Ads) 10:21 Началось? На Reddit паника: Google массово рассылает варнинги за AI-контент	23:56 Portfel.cc - современный помощник в Ваших финансовых операциях. 19:23 GoodsMoney.io 19:09 Volna.money 19:06 Nexulume.com Обменник без AML и KYC 15:08 Рассылки СМС/SMS, Вайбер/Viber, Ватсап/Whatsapp, Телеграм/Telegram любой тематики по всему миру 13:48 Мобильные и Резидентные Прокси Для Соц Сетей \| 3 Гб Бесплатно 12:01 Современный скрипт обменника электронных валют	22:51 Gartner обещал смерть SEO к 2026 году. Открываем метрику и проверяем 20:51 Кодерам приготовиться? DeepSeek анонсировал "монстра кодинга" на следующий месяц 12:40 Топ-5 способов использовать мобильные прокси для бизнеса: подробный обзор 20:57 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко 15:17 SENDERSEX.COM - Тизерная партнёрка онлайн игры Эротические Фанты Онлайн 18:50 Добро пожаловать в цифровой мир... 22:14 Какой фильм вы любите посмотреть перед сном?

Новые темы

Объявления

Свободное общение

23:47 Апдейт 20.01: Позиции вернули? // Рынок рекламы падает
23:02 Монетизация пошла: OpenAI начинает крутить баннеры и ссылки в диалогах
22:59 16.01.2026. Пятничный откат, глюки с регионами и "Нейро" в товарке
22:39 Статистика по "альтернативе": Есть ли смысл сейчас добавлять сайт в Rambler/Mail?
10:25 че по ПФ щас реально работает?? (кроме старья)
10:22 Минус 30% дохода? Chrome теперь скрывает футерные баннеры (Sticky Ads)
10:21 Началось? На Reddit паника: Google массово рассылает варнинги за AI-контент

23:56 Portfel.cc - современный помощник в Ваших финансовых операциях.
19:23 GoodsMoney.io
19:09 Volna.money
19:06 Nexulume.com Обменник без AML и KYC
15:08 Рассылки СМС/SMS, Вайбер/Viber, Ватсап/Whatsapp, Телеграм/Telegram любой тематики по всему миру
13:48 Мобильные и Резидентные Прокси Для Соц Сетей | 3 Гб Бесплатно
12:01 Современный скрипт обменника электронных валют

22:51 Gartner обещал смерть SEO к 2026 году. Открываем метрику и проверяем
20:51 Кодерам приготовиться? DeepSeek анонсировал "монстра кодинга" на следующий месяц
12:40 Топ-5 способов использовать мобильные прокси для бизнеса: подробный обзор
20:57 Осталось 3-5 месяцев до блокировки YouTube в России, — заявил Клименко
15:17 SENDERSEX.COM - Тизерная партнёрка онлайн игры Эротические Фанты Онлайн
18:50 Добро пожаловать в цифровой мир...
22:14 Какой фильм вы любите посмотреть перед сном?