ВАЖНО! Серьезная уязвимость

Меньше суток назад была обнаружена серьезная уязвимость в InstantCMS всех версий, позволяющая перевести пользовательский аккаунт в группу администраторов. Работает только на хостингах с magic_quotes_gpc = OFF, но таких очень много.

Лечение

1. Если вы уже обновились до 1.6.2 — скачайте этот архив и распакуйте в корень сайта.
2. Для версии 1.6.1 достаточно обновиться на 1.6.2 здесь, патч уже содержит лекарство.
3. Для версии 1.6 последовательно обновляемся до 1.6.1 здесь, потом до 1.6.2.
4. Для версии 1.5.3 обновляемся на 1.6.2 здесь.

Профилактика

1. Проверьте список пользователей на предмет наличия левых админов.
2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.
3. Следите за обновлениями на этом сайте.

основной дистрибутив 1.6.2 в разделе "скачать" так же исправлен

Fixed!
Все-таки не даром я на своем сервере данный параметр включил.
Благодарю за своевременное исправление ошибок.

за своевременное нахождение дыры

дыру нашел хакер с античата, ему благодарность за то что сообщил

Как бы то ни было, оперативная реакция радует, спасибо и так держать!

у меня на сайте уже появился такой "пассажир" — expl0it с адресом dos-microsoft@mail.ru
и оставил вот такой ип 77.241.44.40

Обновление прошло успешно! Полет нормальный.

Все равно, меню не выпадает

Просто без комментариев, жесть.

Подскажите, а magic_quotes_runtime = Off стоит включать (On)?

Какие только танцы с бубном не проводил — бесполезно

никаких танцев с бубнами, внимательно читаем как обновиться

на крайний случай ставим чистую последнюю версию, смотрим там, если там все работает, то косяк у Вас.

вовремя.:)

спасибо!!!

В разделе "Скачать" полный дистрибутив уже с исправлениями безопасности по левым админам? Спрашиваю потому, что в уведомлении стоит дата редактирования 17 мая, а дистрибутив от 15 мая

основной дистрибутив 1.6.2 в разделе "скачать" так же исправлен

2. Запретите по максимуму все что возможно в настройках группы "Администраторы". На главном администраторе это не скажется.

То есть я так понял, что настройки главного администратора (того, кто зарегистрировался админом при установке сайта) где-то отдельно от настроек группы администраторов? Правильно? Если это так, то это отлично и тогда система разграничения прав доступа становится более гибкой