Pull to refresh

Comments 26

Молодцы, что заморочились и раскопали. А о каком шаред-хостинге речь? Не рекламы для, интереса ради (можно в личку), как раз сейчас перебираю варианты.
Судя по куску лога ddos-guard.net.
Вот только 500 ошибку — зря они выбрасывают
Проверили версию 0.8.4 вот что вывело:

SERVICE CURRENTLY NOT AVAILABLE!
Error No. [501]
А с какой версии ошибка появилась? У меня там такой код:
// save preference value
else if ($RCMAIL->action == 'save-pref') {
  $RCMAIL->user->save_prefs(array(get_input_value('_name', RCUBE_INPUT_POST) => get_input_value('_value', RCUBE_INPUT_POST)));
  $OUTPUT->reset();
  $OUTPUT->send();
}
и "$_SESSION[$" вообще найти не могу по шкрубику.
$RCMAIL->user->save_prefs(array(get_input_value('_name', RCUBE_INPUT_POST) => get_input_value('_value', RCUBE_INPUT_POST))


Перезапишет любой конфиг $_POST['_name'] на $_POST['_value'], так что наверное давно появилось
Для быстрого затыкания уязвимости — безразлично
Версия 0.8.1. Такая же срань.
Заткнул дырку временно…
Спасибо.
Офигеть, даже не проверять ввод юзера… Секьюрные приложения на пхп такие секьюрные.
Ну и причем тут php? Нет, я понимаю, что уже довольно давно многие решили, что проблемы безопасности php-приложений — это проблемы безопасности самого php, но давайте все-таки смотреть на вещи трезво?
Проблемы среднего уровня разработчиков на данном языке.
Из твиттера:

We just published new releases which fix a recently reported vulnerability that allows an attacker to access files on the server. Please update your installations with the new versions or patch them with the fix which is also published in the downloads section or our sourceforge.net page.
Пост обновил с актуальными ссылками
Браво! Последнее время редко встречаю сообщения о таких дырках.
Only those users with full accounts are able to leave comments. Log in, please.