BUG: http://site.com/?do=forum&act=topic&tid=1+[SQL]
Описание: sql-инъекция
Зависимость: register_globals = on
Файл:
Находим:

Перед ним вписываем:

Суть бага: если вы поставили блокировку по IP на своём аккаунте, то даже если злоумышленник зная ваш пароль не сможет авторизоваться, ибо будет задействована блокировка по IP. Но её легко обойти. Достаточно тому же злоумышленику взломать вашу почту (к которой привязан аккаунт) и запросить на сайте восстановление пароля - успешно сменив пароль, движок заодно скидывает блокировку по IP у данного аккаунта.

Степень опасности: Средняя

За последнее время участились случаи взлома сайтов на CMS DataLife Engine, это связано с новоиспеченной уязвимостью в популярном движке. Думаю пора открыть завесу тайны и рассказать как использовать эту дыру и как уберечь свой сайт. Почему я это делаю спросите Вы, отвечаю - больше половины проектов обновились до DLE 9.0, а на старые версии поставлены заплатки. Не расстраиваетесь, еще можно отыскать "дырявые" сайты, администратор которых не следит за выходом исправлений. В полной новости вы узнаете как взломать сайт на DLE и как уберечь свой проект от покушений.

Наверняка вы уже сталкивались с такой проблемой, когда ставишь это движок форума на поддомен. Голосование не работает, проблема кроется именно в AJAX. Возможно решение подойдет и для других версий.

Наверняка вы уже сталкивались с такой проблемой, когда ставишь это движок форума на поддомен. Голосование не работает, проблема кроется именно в AJAX.

Проблема: Отсутствие проверки доступа при редактирование сообщений.

Ошибка в версии: 2.3 - 2.4

Степень опасности: Высокая