Пришло на почту

Такое сообщение пришло на почту:
Здравствуйте!

Уведомляем вас о закрытии в LiveStreet 0.4.2 уязвимости, с помощью которой потенциально можно было получить права администратора сайта.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 — livestreetcms.com/download/get/
Либо внести изменения вручную:
1. Откройте файл /classes/actions/ActionProfile.class.php
2. Найдите строчку №522: protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
3. Сразу после нее вставьте строчку (только если её у вас еще там нет): $sUserText=$this->Text_Parser($sUserText);
В итоге должно получиться следующее:
protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
$sUserText=$this->Text_Parser($sUserText);
$oFriendNew=Engine::GetEntity('User_Friend');

Мы настоятельно рекомендуем вам выполнить эти действия.
Спасибо за понимание.

С уважением, команда LiveStreet CMS
Сразу зашел на офф. сайт посмотреть про это и тут ничего об этом не написанно.
Вопрос, это реально какой-то баг фикс или пытаются сайт ломануть?

2 комментария

avatar
Это на самом деле багфикс. Строчка, про которую написано в письме, лишь прогоняет текст письма через парсер, вычищая оттуда теги, которые могут нести вредоносный код

Тема была сегодня утром, но её удалили, потому что в ней был написан пример вредоносного кода
  • Vilz
  • 0
avatar
Я тоже первым делом полез на сайт проверять. Очень плохо, что такую важную информацию не разместили. Если уж не хочется, чтобы обсуждали, могли бы просто вывести на главную с запретом комментирования.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.