Благодаря бдительным пользователям мы обратили внимание на потенциальную xss уязвимость.
Эксплуатация ее достаточно сложна и нетривиальна, но мы все же решили перестраховаться и выпустить патч.
Это не критическая уязвимость, страшного ничего нет.
Качаем патч отсюда.
Внимание!
Были изменены в том числе множество файлов шаблона (ИЗМЕНЕНИЯ СМОТРЕТЬ ТУТ), при обновлении будьте внимательны, не забываем делать бекапы.
Данный патч так же решает проблему при удалении профиля.
Эксплуатация ее достаточно сложна и нетривиальна, но мы все же решили перестраховаться и выпустить патч.
Это не критическая уязвимость, страшного ничего нет.
Качаем патч отсюда.
Внимание!
Были изменены в том числе множество файлов шаблона (ИЗМЕНЕНИЯ СМОТРЕТЬ ТУТ), при обновлении будьте внимательны, не забываем делать бекапы.
Данный патч так же решает проблему при удалении профиля.
Хотелось бы уточнить про один файлик "/components/users/frontend.php" который лежит в архиве и которого нет в списке здесь.
Просто в этом файле у меня менялось несколько раз что то, уже не помню что, как то не хочется весь файл строчка за строчкой проверять.
Где посмотреть изменения вносившиеся в него, если таковые имеются?
Спасибо!
уважаемый автор 90% постов приведенных там, перед тем как постить там, уведомлял нас и после того, как мы выпускали патч - публиковал. если ситуацией не владеете - не пишите.
/components/users/frontend.php
$list_files = array(); foreach($_FILES['upfile'] as $key=>$value) { foreach($value as $k=>$v) { $list_files['upfile'.$k][$key] = $v; } } foreach ($list_files as $key=>$data_array) {