51

Re: Прочие ошибки форума PunBB

@kisa ну, как скажете, под тег, так под тег...
но про вашу вторую часть ответа (для PunBB) - я тоже вначале подумал, что вопрос риторический PunBB_INFO_ICQ/scratch

P.S. вставить код всего файла внутрь не удалось - пишет ошибка
https://punbb.softplaza.net/uploads/images/2019/04/eb59011bec0b99d4bc94541049cde117.jpg

поэтому повторяю, файл parser.php - родной, из архива panbb_1.4.5.zip из поста https://punbb.softplaza.net/t-1040.html

$matches[2]

вот скрин из RJ TextEd
https://punbb.softplaza.net/uploads/images/2019/04/1a458f63684214f98c15a1adb78799ab.jpg

52 (edited by PunBB 2021.03.15 07:54)

Re: Прочие ошибки форума PunBB

Не, я смотрел на гитхабе, скорее всего такой. Но, кажется я ошибся.  PunBB_INFO_ICQ/blush  Просто искал этот код в парсере, но так и не нашел. Я точно помню, что в каком то файле целый список символов запрещающий эмодзи. Нужно найти эту функцию и если в ней есть пара хуков то можно попытаться сделать расширение.
Защита видно сделана чтобы пользователи не сували в сообщение что попало.  PunBB_INFO_ICQ/no

Ищем, ищем. Кто найдет, тому будет сюрприз - расширение Pan Emodji  PunBB_INFO_ICQ/cool

53

Re: Прочие ошибки форума PunBB

ну тогда, скорее всего на эту роль больше всего подходит файл, предназначенный для написания и редактирования -
edit.php

$matches[2]

фактически, эмодзи - это UTF-16
тогда реальный кандидат на проверку - это файл \include\utf8\utils\validation.php
? PunBB_INFO_ICQ/scratch


$matches[2]

https://punbb.softplaza.net/uploads/images/2019/04/0e2c703cc25c08b500e4e14b49ebb461.jpg

54

Re: Прочие ошибки форума PunBB

Господа, кто в курсе, что за XSS прикрыта в новой официальной версии 1.4.6?
Я к тому, чтобы все не перезаливать, а просто поправить руками нужные файлы...

Version 1.4.6 offers: fixed possible XSS vulnerability in the [email] BBcode tag (thanks to Igor Sak-Sakovskiy ); added restrictions to use BBcode inside the [email] tag.

55

Re: Прочие ошибки форума PunBB

@kirpich, скорее всего файл parser.php. А где ты это нашел у них? PunBB_INFO_ICQ/scratch

56

Re: Прочие ошибки форума PunBB

@PunBB, так на информере на главной странице...  Думаешь только парсером обошлись? Надо будет попробовать заменить...
punbb.informer.com

57

Re: Прочие ошибки форума PunBB

Initially there was a hotfix for this, I got notified via my admin panel and I applied the hotfix.

Then an hour later the 1.4.6 version came out but I did not upgrade because I already had the hotfix.

I did not want to take a chance on all my language files and other changes I made just because of a bb code vulnerability.

58 (edited by satsana 2021.03.19 16:30)

Re: Прочие ошибки форума PunBB

kirpich wrote:

Господа, кто в курсе, что за XSS прикрыта в новой официальной версии 1.4.6?

Version 1.4.6 offers: fixed possible XSS vulnerability in the email BBcode tag (thanks to Igor Sak-Sakovskiy from ptsecurity.com); added restrictions to use BBcode inside the email tag.
(с) https://punbb.softplaza.netrmer.com
Я, честно сказать, не сравнивала файлы. Просто перезалила все, кроме языковых туда, где у меня их версия 1.4.5 стояла.

59

Re: Прочие ошибки форума PunBB

@satsana, будет вермя- сравню...  У меня много специфических персональных правок, общие варианты по замене не подходят.  Надо будет в первую очередь парсер посмотреть.

$matches[2]

KamWest wrote:

I did not want to take a chance on all my language files and other changes I made just because of a bb code vulnerability.

This vulnerability is a potential one, but no practical application has yet been found

60 (edited by PunBB 2021.04.14 05:51)

Re: Прочие ошибки форума PunBB

The hotfix causes an error

61

Re: Прочие ошибки форума PunBB

Variable must be array

62

Re: Прочие ошибки форума PunBB

Can you specify a fix?

Don't know how to fix that

63

Re: Прочие ошибки форума PunBB

Check array $outside before something do it.
For exmpl:
if(is_array($outside))
//Something do it