В LiveStreet 0.5.1 в js библиотеке prettyPhoto обнаружена уязвимость XSS.

Варианты исправления:

• Патч — github.com/livestreet/livestreet/commit/7c9f79c2ebafc9ba1694c3c850ba8299aeef1ac3
• Скачать дистрибутив еще раз и обновить из него файл engine/lib/external/prettyPhoto/js/prettyPhoto.js

Настоятельно требуем выполнить обновление.

Новый Год не всегда приносит радостные эмоции и отличные подарки, иногда сюрпризы более мрачные.
В LiveStreet 0.5.1 в фото-сетах обнаружена XSS уязвимость.

Патч, исправляющий баг, здесь — github.com/livestreet/livestreet/commit/c5b8e20d0ec380c2f2222fa266261d22dc36f926
Либо можно просто повторно скачать архив с LS от сюда — livestreetcms.com/download/ (архив обновлен)

Настоятельно рекомендуем требуем выполнить обновление.

Здравствуйте!

Уведомляем вас о закрытии в LiveStreet 0.4.2 уязвимости XSS.
Уязвимость была обнаружена в сторонней библиотеке CSSTidy, используемой в LS.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 — http://livestreetcms.com/download/
Либо просто вручную удалите у себя файл /engine/lib/external/CSSTidy-1.3/css_optimiser.php.

Мы настоятельно рекомендуем вам выполнить эти действия.
Спасибо за понимание.

UPDATE
Это приложение к первому письму, в котором мы, к сожалению, упустили еще один важный баг безопасности.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 — http://livestreetcms.com/download/
Либо внесите изменения вручную:
1. Найдите в файле /engine/modules/text/Text.class.php 213 строчку: return array($sTextShort,$sTextNew,$sTextCut);
2. Замените её на строчку: return array($sTextShort,$sTextNew,$sTextCut? htmlspecialchars($sTextCut): null);
Изменения можно посмотреть в SVN.

Пишу в свой блог, ибо не хватает кармы для написания в багрепорт.

Вообщем-то уязвимость не так страшна в данный момент. Суть ее заключается в неверно составленом регулярнике, а именно:

Метод для обрамления url'ов в noindex:

public function MakeUrlNoIndex($sText) {
		return preg_replace("/(<a .*>.*<\/a>)/Ui","<noindex>$1</noindex>",$sText);
	}

Дело в том, что символ точки, в регулярных выражениях, не является шаблоном для \n, Соответсвенно, если между тэгами поставить enter, т.е. он же \n, то ссылка не обрамится в ноиндекс.

На сколько я понял, убрали этот метод с выходом версии 0.4.2, в свзяи с тем, что яндекс начал смотреть в ноуфоллоу.

НО как видно из статей довольно знаменитых блогеров, где были проведены эксперементы, вес линка с ноуфолоу вроде как передается, а от ноиндекс, вроде как не отказались. Непонятно чему верить?)

Вообщем выводы можно сделать следущие:

1) Если у вас старая версия движка, то лучше обновитесь.
2) Я бы все же оставил обрамление линков в ноидекс, ибо если даже яндекс действительно начал учитывать nofollow, то до всех спамеров это дойдет не скоро

В Админпанели была обнаружена уязвимость (спасибо юзеру skpropovednik). Версия с заплаткой 1.2.86 уже выложена здесь: livestreet.ru/addons/34/

Обновление крайне рекомендуется для всех.

ЗЫ Выкладываю сообщение сюда, потому что критичное обновление, а не просто очередной билд.

Данная уязвимость работает в модуле Админпанель 1.2, вкладка Пользователи -> Список.
Справа от списка пользователей предлагается отправить письмо (новое или выбрать из старых).
В старых javascript в темах сообщений никак не фильтруется.

Например

	<select name="talk_inbox_list" id="talk_inbox_list" onchange="AdminMessageSelect();">
		<option value="0">-- Новое письмо --</option>
		<option value="1">test <script>alert('1')</script></option>
	</select>