Уязвимость в Vivvo 3.4

[parempi]

Обнаружена уязвимость в Vivvo. Подробности не принципиальны, главное идем и качаем патч с офсайта
vivvo.net/download/patches/patch-SA280207.zip

Нужно просто залить скачанный файл /include/db_conn.php взамен старого

Вот тема на английском про это на форуме разработчиков:
vivvo.net/forums/showthread.php?t=574

 

[Mons]

По сути надо ставить два патча на эту версию.
Меня уже два раза "поимели" через эту дырку.
И все эти два раза шаблоны терли, уроды.

 

[gyunduz]

Вот еще одна то ли увязимость, то ли ошибка..:
Для просмотра ссылки Войди или Зарегистрируйся

 

[Mons]

Я думаю это просто косяк разрабов. Наш тим уже задолбался их исправлять. Сейчас если и ставлю вивво то только свою версию модифицированную.
А по теме, основная уязвимость это папка "files" .

 

[Dillz]

А можно с деталями? О каких ДВУХ патчах идет речь? На офсайте только один имеется, который вроде как устраняет уязвимость.

 

[FunksoulBrother]

Вот еще одна то ли увязимость, то ли ошибка..:
Для просмотра ссылки Войди или Зарегистрируйся

Они там че, входные данные не проверяют? в таком случае дыр может быть очень много, и все геты и посты надо через mysql_real_escape_string и addslashes прогонять

 

[Mons]

А можно с деталями? О каких ДВУХ патчах идет речь? На офсайте только один имеется, который вроде как устраняет уязвимость.

Поищи чуть ранее на той же ветке.

 

[olezhonok]

шняга, дайте ссылку

 

[Saboteur]

шняга, дайте ссылку

Это стоит понимать как лень сходить и найти тему?

patch-S070109.zip название патча.

 

[Mons]

Скоро вообще обленятся и будут прсить за них лечить и настраивать.