|
|
 |
|
|
|
|
|
|
Для исправления уязвимостей Вы можете воспользоваться готовыми файлами. В архиве сохранена структура файлов для простоты использования. Делать это стоит только в том случае, если не было произведено никаких изменений в этих файлах.
Либо воспользоваться инструкциями приведенными ниже.
Злоумышленник может сформировать вложенный bb-тег, на основе bb-кода img, позволяющий внедрить собственный HTML код в финальную страницу, отдаваемую форумом. Опасность данной уязвимости не значительна, если Ваши форумы используют httpOnly cookies.
В файле admin/sources/classes/bbcode/custom/defauls.php найти:
$_content = substr( $txt, ($this->cur_pos + strlen($open_tag)), (stripos( $txt, $close_tag, $this->cur_pos ) - ($this->cur_pos + strlen($open_tag))) );
Добавить после:
/* Trying to sneak in another URL to auto parse? */ preg_match_all( '#http(s)?://#i', $_content, $_match ); if ( count( $_match[0] ) > 1 ) { /* Make safe */ $txt = preg_replace( "#(http|https|news|ftp)://#i", "\\1://", $txt ); return $txt; }
Работает на DokuWiki |