Новое обновление безопастности (XSS) от 11 июня

[Alx^]

Опастность для версий 2.2.0-2.2.2
XSS уязвимость не дает возможность изменить e-mail или пароль, но возможность изменить icq номер, имя в yahoo и т.п. остается.

Файл : /sources/action_public/xmlout.php

Найти:

        //-----------------------------------------
        // Check
        //-----------------------------------------

        if ( ! $member_id OR ! $this->ipsclass->member['id'] )
        {
            @header( "Content-type: text/plain" );
            $this->class_ajax->print_nocache_headers();
            print 'error';
            exit();
        }

        if( !$this->ipsclass->member['g_edit_profile'] )
        {
            @header( "Content-type: text/plain" );
            $this->class_ajax->print_nocache_headers();
            print 'error';
            exit();
        }

И после этого кода добавить:

        //-----------------------------------------
        // Not the same member?
        //-----------------------------------------

        if ( ! $this->ipsclass->member['g_is_supmod'] )
        {
            if ( $member_id != $this->ipsclass->member['id'] )
            {
                $this->class_ajax->print_nocache_headers();
                $this->class_ajax->return_string( 'error' );
            }
        }