Наличие эксплойта: Нет
Опасность: Низкая
Тип: XSS
Описание: Не достаточная фильтрация входящих данных дает возможность совершить XSS атаку на сайт через скрипт imagepreview.php. Это вызвано не достаточной фильтрацией входящего параметра image
Решение:
Открыть файл: engine/modules/imagepreview.php
Найти строку:
- Код: Выделить всё • Развернуть
$_GET['image'] = htmlspecialchars ($_GET['image'], ENT_QUOTES);
Ниже вставить:
- Код: Выделить всё • Развернуть
$_GET['image'] = str_replace( "document.cookie", "", $_GET['image'] );
$_GET['image'] = str_replace( "javascript", "", $_GET['image'] );
if ( preg_match( "/[?&;%<[]]/", $_GET['image']) ) {
$_GET['image'] = "";
}