Строгое предупреждение от Администратора zk | !! |
Костика и Ростова на сутки в баню, нечего тупить тут. |
Была тут статейка про XSS, но истеричный автор её удалил.
Эта уязвимость грозит тем что можно увести куки пользователя, если он перейдёт по ссылке которую ему подсунет злоумышленник.
Куки у тебя критичны только для авторизации на форуме, т.е. самое страшное что может произойти - это то что тебе или одному из твоих пользователей пришлют ссылку, после чего тот кто прислал ссылку сможет войти на форум под этим пользователем.
Что касается исправления, при беглом просмотре скрипта, я думаю что переменная $sh_srv принимает только целочисленные значения, и правится довольно просто:
в main/phgstats.inc на 230 строке меняем:
- Код: Выделить всё • Развернуть
$sh_srv = $_GET["sh_srv"];
На:
- Код: Выделить всё • Развернуть
$sh_srv = (int)$_GET["sh_srv"];
Сам не проверял, но работать должно.