Здравствуйте!
Уведомляем вас о закрытии в
LiveStreet 0.4.2 уязвимости XSS.
Уязвимость была обнаружена в сторонней библиотеке CSSTidy, используемой в LS.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 —
http://livestreetcms.com/download/
Либо просто вручную удалите у себя файл
/engine/lib/external/CSSTidy-1.3/css_optimiser.php.
Мы настоятельно рекомендуем вам выполнить эти действия.
Спасибо за понимание.
UPDATE
Это приложение к
первому письму, в котором мы, к сожалению, упустили еще один важный баг безопасности.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 —
http://livestreetcms.com/download/
Либо внесите изменения вручную:
1. Найдите в файле /engine/modules/text/Text.class.php 213 строчку:
return array($sTextShort,$sTextNew,$sTextCut);
2. Замените её на строчку:
return array($sTextShort,$sTextNew,$sTextCut? htmlspecialchars($sTextCut): null);
Изменения можно
посмотреть в SVN.