Обновление безопасности для InstantCMS 1.10.3

 

ОписаниеОбновлениеСкачать

Благодаря High-Tech Bridge Security Research Lab и содействию The matrix была закрыта интересная и сложно реализуемая уязвимость (blind SQL injection). Повода для паники нет, для использования этой уязвимости нужны хорошие знания sql запросов, и множество других зависимостей. Подробности мы, разумеется, раскрывать не будем.

Кроме этого мы включили в патч исправления известных нам ошибок:

  • не сохранялись параметры сортировки для рубрики каталога в админке;
  • для авторов, модераторов и администарторов клубов не показывались ссылки для редактирования постов блогов;
  • улучшена совместимость с php 5.4 и выше;
  • при загрузке фотографий в общих альбомах названия формировались всегда в нижнем регистре без пробелов;
  • при просмотре статьи некорректно обрабатывались colorbox изображения, обернутые в ссылку;
  • для шаблона по умолчанию исправлен css общего меню.

Мы рекомендуем всем обязательно обновиться.

Информация для разработчиков: в метод request ядра добавлен функционал, позволяющий получать переменную из запроса только если она присутствует в сформированном вами списке, в противном случае присваивать значение по умолчанию, например,

Код PHP:


  1. $orderto = cmsCore::request('orderto', array('asc','desc'), 'desc');

Таким образом значение переменной может только одним из заданного вами списка.

Для 1.10.3: скачать патч, распаковать его содержимое в корень вашей web директории с заменой файлов.

Для более младших версий: внести самостоятельно исправления, обозначенные в этом коммите.

Основной дистрибутив InstantCMS 1.10.3 в разделе скачать обновлен.