Найдена очередная уязвимость в DLE.
Патч устраняет проблему SQL инъекций в случае включенного на хостинге register_globals. Также данный патч закрывает возможность обхода капчи при регистрации.
Степень опасности - высокая.
Для версии 9.7 скачиваем патч во вложении.
Для всех остальных, более ранних версий правим скрипт руками.
Открыть файл engine/modules/sitelogin.php ищем:
Ниже добавить:
Ищем:
Ниже добавить:
Ищем:
Ниже добавить:
Открыть engine/init.php и найти:
Заменить на:
Открыть файл engine/modules/functions.php и найти:
Ниже добавить:
Патч устраняет проблему SQL инъекций в случае включенного на хостинге register_globals. Также данный патч закрывает возможность обхода капчи при регистрации.
Степень опасности - высокая.
Для версии 9.7 скачиваем патч во вложении.
Для всех остальных, более ранних версий правим скрипт руками.
Открыть файл engine/modules/sitelogin.php ищем:
Код:
$dle_login_hash = "";Ниже добавить:
Код:
$_TIME = time () + ($config['date_adjust'] * 60);Ищем:
Код:
if( $member_id['user_id'] ) {Ниже добавить:
Код:
session_regenerate_id();Ищем:
Код:
$member_id = $db->super_query( "SELECT * FROM " . USERPREFIX . "_users WHERE user_id='" . intval( $_COOKIE['dle_user_id'] ) . "'" );Ниже добавить:
Код:
session_regenerate_id();Открыть engine/init.php и найти:
Код:
if (in_array ( $_POST['dlenewssortby'], $allowed_sort )) {Заменить на:
Код:
if (in_array($_POST['dlenewssortby'], $allowed_sort) AND stripos($find_sort, "dle_sort_") === 0) {Открыть файл engine/modules/functions.php и найти:
Код:
global $tpl;Ниже добавить:
Код:
if (!class_exists('dle_template')) { return; }