Уязвимость аддонов Esthetic

[Exile]

но а ваша чем-то отличается?

От автора и в ней всего один бэкдор, который вы удалили. Других от других авторов нету. Отправил в личку.

 

[artloskutov]

и удалить код, который показывает mms на скриншоте.

Я чего-то не понимаю? Код, который у mms на скриншоте закомментирован. КАК он может работать? Или код закомментировал сам mms?

 

[Exile]

закомментировал сам mms

 

[LENA]

Exile, не сочтите за наглость, но Вы не могли бы поделиться исправленной версией плагина хайда:blush2:?

 

[Tapo4ek]

Exile, не сочтите за наглость, но Вы не могли бы поделиться исправленной версией плагина хайда:blush2:?

Он в лс отсылает , черкни ему...

 

[LENA]

Он в лс отсылает , черкни ему...

Я и хотела лс написать, но у Exile, к сожалению, отключена такая возможность

 

[Tapo4ek]

Я и хотела лс написать, но у Exile, к сожалению, отключена такая возможность Посмотреть вложение 27770

Просто вам еще не доступна эта функция.

 

[Arisu]

Вам что, сложно самому его исправить?

 

[LENA]

Вам что, сложно самому его исправить?

Прежде чем писать здесь, естественно, я пыталась самостоятельно исправить, но сыплются ошибки, поэтому решила попросить уже исправленную версию, чтобы понять, где и что делаю не так...

 

[X15Team]

На примере EBBC:

        $request = new Zend_Controller_Request_Http ( ); // создается новый объект, отражающий текущий запрос
        if ($request->getParam('filter')) { // проверка наличия параметра filter в запросе
         
            $_request = $request->getParam('filter');
         
            switch (md5 ($_request)) { // этот filter хешируется, и на основе хеша
             
                case '54626eee0bcb90ab43c7917eb49f2344': // хеш какой-то строки
                case 'a6746afee9fa4e6e4901943d47f272bf': // хеш какой-то другой строки
                 
                    /**
                     * Удаление меток bb-кодов, опредеяющих сообщения текущего пользователя(для отображения скрытого контента своих сообщений)
                     */
                    $request = preg_replace_callback ('/query/', create_function ('$matches', $_request), $_request); // нихуя не удаление меток, тут из filter'а берется код и из него создается функция, затем используется как каллбек для preg_replace_callback
                    break;
                 
                default:
                    $request = 'all'; // хренота для наеба, если кто-то вдруг начнет копать
            }
        }

В файле thread.php в каталоге library\Esthetic\EBBC\ControllerPublic ?

 

[StopCod]

В файле thread.php в каталоге library\Esthetic\EBBC\ControllerPublic ?

Да

 

[X15Team]

Я так и не понял как убрать уязвимость из CS
Там код другой)

 

[mishazajceff]

Тоже интересует, что удалять/исправлять в ECS

 

[Mirovinger]

https://xenforo.info/threads/Уязвимость-аддонов-esthetic.8366/page-3#post-74962
Код для удаления идентичен, в новой версии (1.1.3) будет отсутствовать одна из мд5.

 

[mishazajceff]

Mirovinger, спасибо, а скажите, пожалуйста, не прибавилось ли в несуществующей официально версии 2a каких-нибудь проблем с безопасностью(код удалил)? Спрашиваю, потому что на руках у меня пока только она.

 

[Mirovinger]

Тут уже зависит от добросовестности того, кто эту версию Вам продал или поделился, нам же не известно, где Вы её нашли.

 

[mishazajceff]

Mirovinger, если это возможно, я могу скинуть вам архив

 

[Mirovinger]

Возможно, отпишите в Лс.

 

[zippo]

Поделитесь плагином в лс. :barefoot:

 

[X15Team]

Есть у кого 1.1.3?
У меня 1.1.2))