PunBB Extensions, Styles, Themes, Hooks, Mods and others Solutions
You are not logged in. Please login or register.
PunBB Forum → Bug reports → Прочие ошибки форума PunBB
@kisa ну, как скажете, под тег, так под тег...
но про вашу вторую часть ответа (для PunBB) - я тоже вначале подумал, что вопрос риторический 
P.S. вставить код всего файла внутрь не удалось - пишет ошибка
поэтому повторяю, файл parser.php - родной, из архива panbb_1.4.5.zip из поста https://punbb.softplaza.net/t-1040.html
$matches[2]
вот скрин из RJ TextEd
Не, я смотрел на гитхабе, скорее всего такой. Но, кажется я ошибся. 
Просто искал этот код в парсере, но так и не нашел. Я точно помню, что в каком то файле целый список символов запрещающий эмодзи. Нужно найти эту функцию и если в ней есть пара хуков то можно попытаться сделать расширение.
Защита видно сделана чтобы пользователи не сували в сообщение что попало. 
Ищем, ищем. Кто найдет, тому будет сюрприз - расширение Pan Emodji 
ну тогда, скорее всего на эту роль больше всего подходит файл, предназначенный для написания и редактирования -
edit.php
$matches[2]
фактически, эмодзи - это UTF-16
тогда реальный кандидат на проверку - это файл \include\utf8\utils\validation.php
?
$matches[2]
Господа, кто в курсе, что за XSS прикрыта в новой официальной версии 1.4.6?
Я к тому, чтобы все не перезаливать, а просто поправить руками нужные файлы...
Version 1.4.6 offers: fixed possible XSS vulnerability in the [email] BBcode tag (thanks to Igor Sak-Sakovskiy ); added restrictions to use BBcode inside the [email] tag.@kirpich, скорее всего файл parser.php. А где ты это нашел у них?
@PunBB, так на информере на главной странице... Думаешь только парсером обошлись? Надо будет попробовать заменить...
punbb.informer.com
Initially there was a hotfix for this, I got notified via my admin panel and I applied the hotfix.
Then an hour later the 1.4.6 version came out but I did not upgrade because I already had the hotfix.
I did not want to take a chance on all my language files and other changes I made just because of a bb code vulnerability.
Господа, кто в курсе, что за XSS прикрыта в новой официальной версии 1.4.6?
Version 1.4.6 offers: fixed possible XSS vulnerability in the email BBcode tag (thanks to Igor Sak-Sakovskiy from ptsecurity.com); added restrictions to use BBcode inside the email tag.
(с) https://punbb.softplaza.netrmer.com
Я, честно сказать, не сравнивала файлы. Просто перезалила все, кроме языковых туда, где у меня их версия 1.4.5 стояла.
@satsana, будет вермя- сравню... У меня много специфических персональных правок, общие варианты по замене не подходят. Надо будет в первую очередь парсер посмотреть.
$matches[2]
I did not want to take a chance on all my language files and other changes I made just because of a bb code vulnerability.
This vulnerability is a potential one, but no practical application has yet been found
The hotfix causes an error
Variable must be array
Can you specify a fix?
Don't know how to fix that
Check array $outside before something do it.
For exmpl:
if(is_array($outside))
//Something do it
PunBB Forum → Bug reports → Прочие ошибки форума PunBB
Generated in 0.083 seconds (70% PHP - 30% DB) with 24 queries
