В панели пользователя присутствует ненужная переменная $loginerror
Дает возможность на любой странице добавить произвольный код к странице.
Актуально для PHP-Fusion 6.01.13 и всех сборках, базирующихся на нем, в том числе PHP-Fusion SF 6.01.13.3.
Если у вас самописная панель пользователя, то, возможно, там все нормально.
Исправляется в файле:
infusions/user_info_panel/user_info_panel.php:
echo "<div align='center'>".(isset($loginerror) ? $loginerror : "")."
<form name='loginform' method='post' action='".FUSION_SELF."'>
выделенное красным нужно удалить.
echo "<div align='center'>
<form name='loginform' method='post' action='".FUSION_SELF."'>
Спасибо Kosinus за наблюдательность. |