FIX HELIOCMS V5 index.php 20.11.16 20:47
Relembrando a primeira mensagem :
Pessoal, achei um erro grave na HelioCMS V5. Não sei se isso afeta a todas as elas, mas pelo menos comigo afetou, e é uma falha grave pois os hackers podem usá-la para invadir seu hotel e as contas!!!
A falha é basicamente no sistema de login, que ao digitar o e-mail você não precisa digitar a senha, apenas dar enter e ele irá entrar na conta como se você tivesse digitado a senha!
A solução é: DESATIVAR O LOGIN POR E-MAIL.
Como fazer?
Vá em index.php, e procure por:
Substitua por:
Repita o mesmo procedimento no arquivo includes/modal_login.php
Isso irá remover o acesso por e-mail, ficando apenas o acesso por usuário.
Espero ter ajudado!
Pessoal, achei um erro grave na HelioCMS V5. Não sei se isso afeta a todas as elas, mas pelo menos comigo afetou, e é uma falha grave pois os hackers podem usá-la para invadir seu hotel e as contas!!!
A falha é basicamente no sistema de login, que ao digitar o e-mail você não precisa digitar a senha, apenas dar enter e ele irá entrar na conta como se você tivesse digitado a senha!
A solução é: DESATIVAR O LOGIN POR E-MAIL.
Como fazer?
Vá em index.php, e procure por:
- Código:
$user_verify = mysql_query("SELECT * FROM users WHERE mail='$emailorusername' or username='$emailorusername' && password='".MD5($password)."' LIMIT 1");
Substitua por:
- Código:
$user_verify = mysql_query("SELECT * FROM users WHERE username='$emailorusername' && password='".MD5($password)."' LIMIT 1");
Repita o mesmo procedimento no arquivo includes/modal_login.php
Isso irá remover o acesso por e-mail, ficando apenas o acesso por usuário.
Espero ter ajudado!