Simple Machines Community Forum

SMF Support => Language Specific Support => Português (Portuguese) => Topic started by: maeldz on April 28, 2018, 06:51:16 PM

Title: [BUG] SMF PERMITE ENVIAR PHP COMO SE FOSSE UMA IMAGEM
Post by: maeldz on April 28, 2018, 06:51:16 PM
Hoje um membro me mostrou uma forma de salvar um link de um script ao invés de uma imagem, dessa forma é possível enviar diversos scripts maliciosos no fórum, como um script que captura o ip dos membros por exemplo. Veja na imagem:

(https://i.imgur.com/b0Je9ho.png)

Gostaria de uma forma de limitar o envio para apenas urls contendo arquivos de imagem, ou desativar esta opção.
Title: Re: [BUG] SMF PERMITE ENVIAR PHP COMO SE FOSSE UMA IMAGEM
Post by: Rock Lee on April 30, 2018, 08:49:07 PM
Você só pode verificar extensões que são enviadas para o seu próprio servidor, a melhor opção seria desabilitar essa opção de permissões de usuário. Esta em www.midominio.com/index.php?action=admin;area=permissions;sa=index; se é um usuário normal (ou grupo quer remover) tem que ir para o lado dos avatares e desmarcar "Selecionar um avatar remoto", salvando ao sair.


Saudações!

*Desculpe meu Português há um tempo atrás eu não escrevo mais :P*