Мелкий баг в DLE всех версий
Автор: grixan
5-11-2010, 16:20
Баги

Мелкий баг в DLE всех версий

Суть бага: если вы поставили блокировку по IP на своём аккаунте, то даже если злоумышленник зная ваш пароль не сможет авторизоваться, ибо будет задействована блокировка по IP. Но её легко обойти. Достаточно тому же злоумышленику взломать вашу почту (к которой привязан аккаунт) и запросить на сайте восстановление пароля - успешно сменив пароль, движок заодно скидывает блокировку по IP у данного аккаунта.

Степень опасности: Средняя

Исправление:
Открываем файл engine/modules/lostpassword.php и находим:
set password='" . md5( md5( $new_pass ) ) . "', allowed_ip = '' WHERE user_id='$douser'"


Заменяем на:
set password='" . md5( md5( $new_pass ) ) . "' WHERE user_id='$douser'"


Баг закрыт и блокировку не снять.
Автор: ShapeShifter (savgroup.ru)
Комментарии (5)
Просмотров: 698
Фото

Регистрация: 26.07.2010 Автор: dordjeСообщений: 55ICQ:
Спасибо за решение прорблемы

   
Фото

Регистрация: 4.11.2010 Автор: DJ_SERJСообщений: 102ICQ:
Я тоже у ся исправил!!!



--------------------------
SerjFM.EzAr.Ru
   
Фото

Регистрация: 20.08.2010 Автор: ShamanСообщений: 60ICQ:
да баг не приятный, сколько же дыр в dle не смотря на обновления движка, пошол эту закрывать

   
Фото

Регистрация: 15.11.2010 Автор: ARSARTSСообщений: 40ICQ:
С кaждой новой вeрсии новыe бaги

   
Фото

Регистрация: 13.02.2011 Автор: ValeryLСообщений: 50ICQ: 680852
Полезная информация, но как уже говорил, выпустить коллекцию багов и решений в компактном виде.

   

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.