При копировании материала указание автора и ссылки на наш сайт обязательна.
Суть бага: если вы поставили блокировку по IP на своём аккаунте, то даже если злоумышленник зная ваш пароль не сможет авторизоваться, ибо будет задействована блокировка по IP. Но её легко обойти. Достаточно тому жезлоумышленики взломать вашу почту (к которой привязан аккаунт) и запросить на сайте восстановление пароля - успешно смени парлоль движок заодно скидывает блокировку по IP у данного аккаунта.
Степень опасности: ХЗ
Как это дело поправить:
Открываем файл engine/modules/lostpassword.php
Находим:
Заменяем на:
Всё. Баг закрыт и блокировку не снять.
P.S. это не есть ошибка движка, так задумано, но лично я вижу в этом потенциальную опасность, поэтому создал данную новость, так что можно к ней отнестись как к совету, если вы не пользуетесь блоком по IP, то вам это не нужно.
Автор: ShapeShifter
Суть бага: если вы поставили блокировку по IP на своём аккаунте, то даже если злоумышленник зная ваш пароль не сможет авторизоваться, ибо будет задействована блокировка по IP. Но её легко обойти. Достаточно тому жезлоумышленики взломать вашу почту (к которой привязан аккаунт) и запросить на сайте восстановление пароля - успешно смени парлоль движок заодно скидывает блокировку по IP у данного аккаунта.
Степень опасности: ХЗ
Как это дело поправить:
Открываем файл engine/modules/lostpassword.php
Находим:
set password='" . md5( md5( $new_pass ) ) . "', allowed_ip = '' WHERE user_id='$douser'"
Заменяем на:
set password='" . md5( md5( $new_pass ) ) . "' WHERE user_id='$douser'"
Всё. Баг закрыт и блокировку не снять.
P.S. это не есть ошибка движка, так задумано, но лично я вижу в этом потенциальную опасность, поэтому создал данную новость, так что можно к ней отнестись как к совету, если вы не пользуетесь блоком по IP, то вам это не нужно.
Автор: ShapeShifter
