Баг в аттачах DLE Forum 2.2 - 2.5
Недостаточная фильтрация данных и как итог - злоумышленник может удалить ВСЕ аттачи форума (картинки и файлы).
Исправления для DLE Forum 2.2:
Открыть engineforumsourcesmodulesuploads.php и найти:
foreach ($del as $key => $value)
{
$mysql_array .= "file_id = '$key' OR ";
}
Заменить на:
$mysql_array = "";
foreach ($del as $key => $value)
{
$key = intval($key);
if ($key)
$mysql_array .= "file_id = '$key' OR ";
}
if ($mysql_array)
{
Найти:
}
}
echo "<div><strong>Загрузка файлов на сервер</strong><br /><br /></div>";
Заменить на:
}
}
}
echo "<div><strong>Загрузка файлов на сервер</strong><br /><br /></div>";
Исправления для DLE Forum 2.3 - 2.5:
Открыть engineforumsourcesmodulesuploads.php и найти:
if (intval($file_id)) $del_id[$file_id] = $file_id;
Заменить на:
$file_id = intval($file_id);
if ($file_id) $del_id[$file_id] = $file_id;
Автор: ShapeShifter (savgroup.ru)