Кратко
В версии 1.6.2 была возможность закачать через свой профиль файл .htaccess с инструкциями, разрешающими запускать любые файлы как php-скрипты. Это позволяло злоумышленнику загрузить шелл под видом jpg-картинки.Лечение
Качаем архив — uploadfix.162.tar.gz, распаковываем в корень сайта с заменой файлов.Есть ненулевая вероятность что вам уже залили шелл — уязвимость была опубликована на античате длительное время. Поэтому в архиве лежит скрипт cleaner.php. После распаковки архива на сайте нужно запустить этот скрипт (открыть адрес site.ru/cleaner.php). Он пройдет по всем папкам с пользовательскими файлами и проверит каждую на наличие .htaccess и php-скриптов. Найденные файлы, по возможности, будут удалены автоматически. Если прав не хватит — скрипт выведет путь к файлу для удаления вручную.
Дополнительно
Помимо закрытой уязвимости установка этого патча также поменяет механизм восстановления паролей. На почту пользователя который забыл пароль будет приходить не новый пароль, а ссылка на форму, где новый пароль он должен будет придумать и ввести самостоятельно. Ссылка в письме активна до смены пароля или до первого входа со старым паролем. Это решает проблему со сбросом пароля пользователей, email которых известен злоумышленнику.P.S.
Вынужден извиниться перед сообществом за то что уязвимость известна давно, а патч выходит только сейчас.
Было много работы. Но лучше поздно чем никогда,
Приближается версия 1.6.3 со множеством интересного.
