Уязвимости недостаточной фильтрации данных и недостаточной проверки прав Степень опасности: высокая 1 - Исправление в файле set.php Авторизованные пользователи могут перемещать темы не имея прав модератора из одного раздела в другой. 2 - Исправление в файле discussion.php Недостаточная фильтрация данных перед записью в БД. Сообщение отредактировал Grey 19 июля 2015 - 09:55 |
сделаю любой модуль dle на заказ, если вам нужны услуги по dle
скaйп rdn-team.com
телегрaм @histoo
Там у меня из-за модификаций указаны раздельные права на закрытие открытие темы, у bullet energy из коробки их нет, поэтому оно работать не будет, замените в файле:
на
Сообщение отредактировал Grey 24 июля 2015 - 11:48 |
сделаю любой модуль dle на заказ, если вам нужны услуги по dle
скaйп rdn-team.com
телегрaм @histoo
Цитата: Grey Авторизованные пользователи могут перемещать темы не имея прав модератора из одного раздела в другой А как это проверить? У меня вроде без данного хака невозможно пользователю ничего сделать, кроме создания темы. |
Johan,зайти в тему из под модератора, открыть параметры темы, потом в другом окне снять с себя права модератора, а в первом окне переместить тему в другой раздел |
сделаю любой модуль dle на заказ, если вам нужны услуги по dle
скaйп rdn-team.com
телегрaм @histoo
Grey, Не понял ничего, можно скрин? Авторизованные пользователи могут перемещать темы не имея прав модератора. ПОЛЬЗОВАТЕЛИ или Модераторы? Модераторы у меня могут перемещать темы и тд. |
Johan, пользователи |
сделаю любой модуль dle на заказ, если вам нужны услуги по dle
скaйп rdn-team.com
телегрaм @histoo
Johan, Смотри. Открываешь 1 вкладку и заходишь как модератор в любую тему. Дальше во 2 вкладке, заходишь в админку и удаляешь права модератора. Теперь переходи в 1 вкладку и попробуй переместить тему. Сообщение отредактировал cmscripts 26 июля 2015 - 06:00 |