Dle-Code.com

Проблема: Пользователю которому разрешена загрузка файлов на сервер (не картинок), может выйти за пределы разрешенной папки загрузки, а если он имеет администраторский аккаунт на сайте, то и повредить данные скрипта.

Ошибка в версии: Все версии

Степень опасности: Средняя (Высокая при наличии администраторского аккаунта на сайте)

Проблема: При определенных условиях на сайт можно провести атаку XSS. Данными условиями является посещение авторизованным администратором, сайта злоумышленника, при этом использование администратором устаревшего браузера, что может привести к перехвату куков браузера.

Ошибка в версии: 7.x - 8.5

Степень опасности: Высокая

Проблема: Отсутствие проверки доступа при редактирование сообщений.
Ошибка в версии: 2.3 - 2.4
Степень опасности: Высокая

Исправление внутри новости.

В последнее время замечено слишком много хакнутых сайт с помощи бага в DLE Forum 2.4.
Пример его использования выкладывать не буду, чревато последствиям.
А вот заплатку выложу.

Проблема: Недостаточная фильтрация входящих данных.
Ошибка в версии: DLE Forum 2.4
Степень опасности: Высокая

Фиксимся в полной новости.

Проблема: Недостаточная фильтрация входящих данных в модуле восстановления пароля.

Ошибка в версии: только 8.2, версии ниже 8.2, а также актуальная версия 8.3 данной уязвимости не подвержены

Степень опасности: Очень высокая

Для исправления скачайте и скопируйте на свой сервер патч: dle82_path.zip [2.35 Kb] (cкачиваний: 40)

Проблема: Недостаточная фильтрация входящих данных при обработке новостей.
Версии с ошибкой: все версии
Каков уровень опасности: Низкий

Исправление внутри новости.

Проблема: Недостаточная фильтрация входящих данных.
Ошибка в версии: 7.5 и ниже
Степень опасности: Низкая

Дистрибутив версии 7.5 обновлен.