DLE v.11.2 и ниже. Недостаточная фильтрация данных.

Патч обновлён 04.04.2017

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.2 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/go.php и найдите:

$url = @str_replace ( "&", "&", $url );

ниже добавьте:

$url = htmlspecialchars( $url, ENT_QUOTES, $config['charset'] );

$url = str_replace ( "&", "&", $url );

Далее откройте файл: /engine/ajax/typograf.php и найдите:

$txt = trim( convert_unicode( $_POST['txt'], $config['charset'] ) );

ниже добавьте:

require_once ENGINE_DIR . '/classes/parse.class.php';

$parse = new ParseFilter();

$txt = $parse->process( $txt );

$txt = preg_replace( "/javascript:/i", "j***1072;vascript***58;", $txt );

$txt = preg_replace( "/data:/i", "d***1072;ta:", $txt );

WebAlt, тег code ломает php-код, надо как то по другому постить

источник https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html

У кого лицензия им на почту о патчах сообщают:)