Юные хацкеры с вовжп обнаружили дыру в системе защиты АСР2.
Суть проблемы такова: при использовании восстановлением пароля через емайл, в модуле email.php отсутствует проверка на SQL-инъекцию у параметра id.
Сейчас я полностью проверяю весь этот модуль. К вечеру постараюсь выложить полноценный патч.
До этого момента предлагаю всем отключить работу функций с электронной почтой. Для этого временно закомментировать ( // ) две строчки в начале файла mail.php :
PHP код:
<?php
//if (!isset($_GET***91;'id'***93;)) {
echo $txt***91;138***93;;
return;
//}
.......... далее .........
Добавляю: брешь в обороне закрыта. Сейчас думаю про таблицу логирования SQL-атак. Обновляйтесь.