Actualización de seguridad

Escrito el día 22/05/2011 a las 17:15 por admin y fue visto 6020 veces
PostRev 0.8.0c-2

Gracias al aporte de Javier Bassi me informa de ciertas vulnerabilidades en la actual versión del Postrev

1. A Denial of service vulnerability.
2. Cross-site scripting vulnerabilities.
3. Cross-site request forgery vulnerabitiles.

Los primeros parches, al menos para evitar ataques obvios por comentarios con HTML mal formado, incluyen cambios en:

1.-
common.php
ya no se permite más incluír HTML en los comentarios, sólo BB Code

2.-
comment_form.php
en el theme el comment_form.php para modificar los parámetros de ayuda de código, sólo BB Code MODIFICAR EN TODOS LOS THEMES QUE TENGAN, al menos la parte de scripting, o si no dejará de funcionar

3.-
patch.sql
Ejecutar esto, borrará la tabla parseo y creará nueva con el BB Code completo y actualizado. En caso de no querer borrar la propia por tenerla customizada, chequear los valores y ajustarla a mano.

Descarga aquí

En la semana seguramente habrá más correcciones, esto sirve solamente para los puntos 1 y 2, los otros requieren más trabajo de código.


   Tema: Bugs


Comentarios
Post Cerrado