В данной теме будут появляться патчи безопасности для владельцев старых версий движка.
Поскольку большая часть людей по тем или иным причинам не хочет обновляться на новые версии, то специально для таких решил сделать отдельную тему посвящённую именно патчам безопасности. Они из себя представляют по сути те же моды, но более просты в установке.
Так-же рекомендую в данную тему время от времени заглядывать, поскольку список найденных и исправленных уязвимостей будет появляться здесь.
Патчи безопасности за Декабрь 2023
Патчи безопасности за Январь 2024
Если вам известны уязвимости, которых нету в этой теме, то прошу вас сообщить мне в ЛС.
Поскольку большая часть людей по тем или иным причинам не хочет обновляться на новые версии, то специально для таких решил сделать отдельную тему посвящённую именно патчам безопасности. Они из себя представляют по сути те же моды, но более просты в установке.
Так-же рекомендую в данную тему время от времени заглядывать, поскольку список найденных и исправленных уязвимостей будет появляться здесь.
Итак, приступим
Патчи безопасности за Ноябрь 2023Открыть privmsg.php и найти (в некоторых ревизиях может немного отличаться)
Заменить на
Уязвимость нашёл наш разработчик - kovalensky.
P.S - По умолчанию вшито в LTS начиная с версии (2023-11-20).
PHP:
$mode = isset($_REQUEST['mode']) ? (string) $_REQUEST['mode'] : '';
PHP:
$mode = isset($_REQUEST['mode']) ? htmlCHR($_REQUEST['mode']) : '';Уязвимость нашёл наш разработчик - kovalensky.
P.S - По умолчанию вшито в LTS начиная с версии (2023-11-20).
Открыть feed.php и найти (в некоторых ревизиях может немного отличаться)
или же
Заменить на
Уязвимость нашёл наш разработчик - kovalensky.
P.S - По умолчанию вшито в LTS начиная с версии (2023-11-20).
PHP:
$id = (int) @$_POST['id'];
PHP:
$id = $_POST['id'] ?? 0;
PHP:
$id = isset($_POST['id']) ? (int)$_POST['id'] : 0;Уязвимость нашёл наш разработчик - kovalensky.
P.S - По умолчанию вшито в LTS начиная с версии (2023-11-20).
Патчи безопасности за Декабрь 2023
Открыть search.php и найти (в некоторых ревизиях может немного отличаться)
Заменить на
Уязвимость помогли найти участники сообщества.
PHP:
AND search_id = '$search_id'
PHP:
AND search_id = '" . DB()->escape($search_id) . "'Уязвимость помогли найти участники сообщества.
Открыть tracker.php и найти (в некоторых ревизиях может немного отличаться)
Заменить на
Уязвимость помогли найти участники сообщества.
PHP:
AND search_id = '$search_id'
PHP:
AND search_id = '" . DB()->escape($search_id) . "'Уязвимость помогли найти участники сообщества.
Патчи безопасности за Январь 2024
Открыть functions.php и найти (в некоторых ревизиях может немного отличаться)
Заменить на
Уязвимость нашёл наш разработчик - belomaxorka.
PHP:
$row = DB()->fetch_row("SELECT username FROM " . BB_USERS . " WHERE user_id = $user_id LIMIT 1");
// Или же...
$row = DB()->fetch_row("SELECT username FROM ". BB_USERS ." WHERE user_id = $user_id LIMIT 1");
PHP:
$row = DB()->fetch_row("SELECT username FROM ". BB_USERS ." WHERE user_id = '". DB()->escape($user_id) ."' LIMIT 1");Уязвимость нашёл наш разработчик - belomaxorka.
Если вам известны уязвимости, которых нету в этой теме, то прошу вас сообщить мне в ЛС.
Последнее редактирование: