public marks

PUBLIC MARKS from bacon with tag coral

2006

xoops multiple vulnerabilities, update xoops 2.0.16 ou maior

secunia advisory: sa17300 release date: 2005-10-25 last update: 2005-11-08 critical: moderately critical. impact: security bypass. cross portal scripting. dos whe from remote. solution status: vendor patch. software: xoops 2.x. description: some vulnerabilities have been reported in xoops, which can be exploited by malicious people estou conduct script insertion attacks, cause a dos (denial of service), and estou bypass certain security restrictions. 1) input passed estou certain "xoops code" tags isn't properly sanitised before being returned estou the user. this can be exploited estou execute arbitrary html and script code in a user's browser session in context of an affected site. 2) certain input passed estou the "newbb" fórum module and estou the comments system isn't properly sanitised before being returned estou the user. this can be exploited estou execute

xoops local file inclusion vulnerabilities, update xoops 2.0.15 ou maior

secunia advisory: sa20176 release date: 2006-05-22 last update: 2006-05-25 critical: moderately critical. impact: exposure of sensitive information. system access. whe from remote. solution status: vendor patch. software: xoops 2.x. cve reference: cve-2006-2516 (secunia mirror) description: rgod has reported two vulnerabilities in xoops, which can be exploited by malicious people estou disclose sensitive information and potentially compromise a vulnerable system. input passed estou the "xoopsconfig" array parameter when the "xoopsoption[nocommon]" parameter is defined isn't properly verified, before it is used estou include files. this can be exploited estou include arbitrary files from local resources. examples: http://[host]/misc.php?xoopsoption[nocommon]=1&xoopsconfig[language]=[file]%00 http://[host]/index.php?xoopsoption[nocommon]=1&xoopsconfig

xoops user_avatar parameter sql injection vulnerability, update xoops 2.0.15 ou maior

secunia advisory: sa21643 release date: 2006-08-28 last update: 2006-08-29 critical: moderately critical. impact: manipulation of data. whe from remote. solution status: vendor patch. software: xoops 2.x. cve reference: cve-2006-4417 (secunia mirror) description: omid has reported a vulnerability in xoops, which can be exploited by malicious people estou conduct sql injection attacks. input passed estou the "user_avatar" parameter in edituser.php isn't properly sanitised before being used in a sql query. this can be exploited estou manipulate sql queries by injecting arbitrary sql code. the vulnerability has been reported in version 2.0.14. prior versions may also be affected. solution: update estou version 2.0.15. http://xoops.org/modules/core/ provided and/or discovered by: omid. changelog: 2006-08-29: added c

falha grave de segurança no fckeditor

[url=http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=396]alerta original de segurança no portal peak [/url] poster : gijoe on 2006-12-14 12:49:55 (78 reads) in english in japanese. i've just tried a wysiwyg editor fckeditor for pico. http://fckeditor.net/ it looks the best html&javascript and not so good php. in 2.3.2, i can find a fatal vulnerability in php uploader at a glance. (.php files can be uploaded) thus i've remade php uploader and connector almost full scratch for xoops. you can try this. http://xoops.peak.ne.jp/md/mydownloads/singlefile.php?lid=93 pico 0.2 has a feature of editing contents via this fckeditor on xoops. p.s. i don't test xoops.org's fckeditor under /class/xoopseditor/ because class directory should be deny for httpd. and i guess the same vulnerability of original exists in the xoops.org version.

queria avisar associado sobre preenchimento do cadastro antes e depois obrigar

eu queria obrigar o cadastrante muleta que tenha que preencher o cadastro corretamente. pode ser somente mensagem nada demais. mas quando ele já for cadastrado e estiver ativado, gostaria de enviar uma mensagem automática pelo portal avisando os campos que ele não preencheu. mas precisa ser tipo um bloco bem grande para ele ver toda vez que entrar no portal. será que ninguém nunca precisou disto? também neste módulo queria receber algum tipo de notificação quando ele alterar alguma coisa no seu perfil. eles colocam cada coisa absurda que precisamos tomar cuidado. também não encontrei nada sobre isto aqui :-( se fosse possivel até avisar o que foi alterado melhor ainda. aguardo quaquer ajudar do xoops

aumentar a minha assinatura

não sei se ainda funciona esse esquema de incluir o valor na variável, mas se funcionar, agora a linha que você tem que alterar provavelmente é a seguinte: $sig_tarea = new xoopsformdhtmltextarea('', 'user_sig', $xoopsuser->getvar('user_sig', 'e')); o problema é que ela é um pouco diferente, então não sei exatamente onde você pode incluir o valor referente aos caracteres. está dificil não encontrei como fazer isto. guardei o arquivo, fiz as alterações mas ficou tudo branco aí voltei o arquivo anterior. estou vendo que não só não é uma dúvida básica como pelo jeito não tem solução: vasculhei tanto o fórum aqui do xoops como o do xoops.org e vi que a única maneira de ter controle sobre as imagens da assinatura é hackeando o xoops, mas o problema é que os hacks que eu vi nos fóruns não funcionam com as versões recentes do xoops, de acordo com os comentári

xcgal como criar album de fotos?

desculpe me intrometer. rodrigo pode enviar o módulo para mim também. meu e-mail é coral.x@bol.com.br obrigado

aumentar a minha assinatura

obrigado fbs777, você nem deixou eu molhar o bico :) traduzi no google e ficou assim, assinaturas. às vezes, como com o campo da assinatura, simplesmente mudar o tipo da coluna de mysql será bastante. desde que 64kb é demasiado grande para uma assinatura e não há nenhum tipo tamanho intermediário, você pode utilizar a função do substr de php () em edituser.php: mudança: o que exatamente quer dizer. simplesmente mudar o tipo da coluna de mysql será bastante não sei como mudar esta coluna do mysql. abaixo você colocou assim. $edituser->setvar('user_sig', $user_sig); to: $edituser->setvar('user_sig', substr($user_sig, 0, 1000)); this will impose a 1000 characters size limit estou signatures. onde eu altero isto no banco

aumentar a minha assinatura

eu sou o carlos iniciei a pouco tempo no xoops e já estou fazendo algumas coisinhas. já fix de tudo e não vai. queria colocar a minha assinatura bunitinha mas não vai. tentei aqui no portal e acontece a mesma coisa fica truncada. será que não tem um alternativa? alguma dica ?

2004

theme coral reef

coral reef download: http://ufpr.dl.sourceforge.net/sourceforge/xoops/xoops2-thm_coral_reef.zip