[BUG] SMF PERMITE ENVIAR PHP COMO SE FOSSE UMA IMAGEM

[maeldz]

Hoje um membro me mostrou uma forma de salvar um link de um script ao invés de uma imagem, dessa forma é possível enviar diversos scripts maliciosos no fórum, como um script que captura o ip dos membros por exemplo. Veja na imagem:

Gostaria de uma forma de limitar o envio para apenas urls contendo arquivos de imagem, ou desativar esta opção.

[-Rock Lee-]

Você só pode verificar extensões que são enviadas para o seu próprio servidor, a melhor opção seria desabilitar essa opção de permissões de usuário. Esta em www.midominio.com/index.php?action=admin;area=permissions;sa=index; se é um usuário normal (ou grupo quer remover) tem que ir para o lado dos avatares e desmarcar "Selecionar um avatar remoto", salvando ao sair.


Saudações!

*Desculpe meu Português há um tempo atrás eu não escrevo mais *