Alerta de Segurança - XOOPSPR - Correção - URGENTE



2008-12-01

Alerta de Segurança - XOOPSPR - Correção - URGENTE

Detectamos algumas vulnerabilidade em alguns módulos disponibilizados no pacote XOOPSPR. Segue abaixo as instruções para efetuar a correção.

Obs: Esta falha a princípio,  afeta somente os dois módulos (notícias e conteúdo) disponíbilizados no pacote  Xoops Celepar.


Para conhecimento,
As seguintes alterações de segurança devem ser procedidas em sites Xoops:

em fck/editor/filemanager/browser/default/connectors/php/config.php
include_once("./../../../../../../../mainfile.php");

if(!$xoopsUser){
redirect_header('/index.php', 3,"Você não possui permissão de
acesso!" );
}

em modules/conteudo/conteudo.php

$cod_conteudo = isset($_GET['conteudo']) ? intval($_GET['conteudo']) : 0;
//$cod_conteudo = $_GET['conteudo'];

em modules/noticias/meses.php e
modules/conteudo/arquivo.php

$ano = isset($_GET['ano']) ? intval($_GET['ano']) : 0;
$mes = isset($_GET['mes']) ? intval($_GET['mes']) : 0;
//$mes = $_GET['mes'];
//$ano = $_GET['ano'];

Obrigado.



Postar um comentário