Китайская CMS PbootCMS на SQlite

[komunna]

Полноценная CMS с конструктором контента. Может подключаться к Mysql и SQlite. Для визитки очень годно.
Как обычно, неукоснительно следуя в фарватере решений очередного пленума КПК .разработчики системы, в едином порыве, на основании классового чутья отвергают языковые константы .как заподнопоклонничество, и торжественно обещают и впредь фигачить свои иероглифы непосредственно в скрипты, как завещал валики Мао.

Так что, с переводом муторно (в прикреплённом файле черновик неполный, что бы чисто глянуть на админку).
Ещё у неё внутре неонка: на офсайте надо получит для своего домена верификационный или регистрационный или фиг поймёшь какой код. Тупо вписываем домен. расшифровываем элэсдешную капчу и получаем длинную цифирь. Её в админке, выбрав первый пункт левой панели, вбиваем в предпоследнее поле и клацаем зелёную кнопку. Тогда сможем смотреть на фронтенд незамутнённым взглядом китайского материалиста.

Так вот, товарищи, чего бы хотелось.
Хотелось бы хлебца, значить, отрубей пареных. и выпилить проверку кода домена.

 // Изменить конфигурацию параметров
        if ($_POST) {
            unset($_POST['upload']); // Удалить загружаемые компоненты
            if (isset($_POST['sn'])) {
                $_POST['licensecode'] = base64_encode(post('sn') . '/' . post('sn_user')) . substr(post('sn'), 1, 1);
            }
            foreach ($_POST as $key => $value) {
                if (! preg_match('/^[\w\-]+$/', $key)) {
                    continue;
                }
                $config = array(
                    'debug',
                    // 'sn',
                    // 'sn_user',
                    'pagenum',
                    'tpl_html_cache',
                    'tpl_html_cache_time',
                    'session_in_sitepath'
                );
                if (in_array($key, $config)) {
                    if ($key == 'tpl_html_cache_time' && ! $value) {
                        $value = 900;
                    } else {
                        $value = post($key);
                    }
                    $this->modConfig($key, $value);
                } else {
                    $this->modDbConfig($key);
                }
            }
            
            $this->log('Успешно измененная конфигурация параметров！');
            path_delete(RUN_PATH . '/config'); // Очистите файл конфигурации кэша

Для просмотра ссылки Войди или Зарегистрируйся

Вход в админку /admin.php
Логин admin
Пароль 123456

 

[CAPAXA]

Я просто оставлю это сдесь Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

 

[komunna]

Я просто оставлю это сдесь Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

Я просто добавлю:
PbootCMS V3.2.4 build 2023-02-282023-02-28
PbootCMS V3.2.3 build 2022-12-302022-12-30
PbootCMS V3.2.2 build 2022-11-162022-11-16

А так-то, конечно. Надо бы указывать, что бы такие идиоты, как я не создавали неправильные темы, сразу «йди до прутня»

 

[CAPAXA]

Я просто добавлю:
PbootCMS V3.2.4 build 2023-02-282023-02-28
PbootCMS V3.2.3 build 2022-12-302022-12-30
PbootCMS V3.2.2 build 2022-11-162022-11-16

А так-то, конечно. Надо бы указывать, что бы такие идиоты, как я не создавали неправильные темы, сразу «йди до прутня»

Эм, шта?
Я просто акцентировал внимание что система имеет явные проблемы с безопасностью.

 

[pikasso]

На сегодня...

Для просмотра ссылки Войди или Зарегистрируйся​

A weakness has been identified in PbootCMS up to 3.2.12. This impacts the function alert_location of the file apps/home/controller/MemberController.php of the component Parameter Handler. This manipulation of the argument backurl causes cross site scripting. Remote exploitation of the attack is possible. The exploit has been made available to the public and could be used for attacks.
Source: VulDB

CVE-2026-4510
В PbootCMS до версии 3.2.12 обнаружена слабость. Это влияет на функцию alert_location файла apps/home/controller/MemberController.php обработчика параметров компонента. Эта манипуляция обратным URL-адресом аргумента приводит к созданию межсайтовых сценариев. Возможна удаленная эксплуатация атаки.
Эксплойт стал общедоступным и может быть использован для атак.
Источник: ВулДБ