[3.6.x]

Коллеги!
Обратите внимание на уязвимость в vBGallery 2.5, позволяющую рассылать спам с сайта.

Проблема
Функция "Изображение на e-mail" (в меню "Опции изображения"при просмотре картинки в галерее), при вызове которой появляется web-форма для отправки письма огромному количеству адресатов одновременно.
Проблема усугубляется тем, что запрет этой функции в настройках галереи в админке (параметр называется "Может отправлять изображения друзьям" в vbGallery->Права групп пользователей) все равно дает спамеру воспользоваться функцией с помощью прямой ссылки вида http://you_site/your_gallery_path/mi...ilimage&i=NNNN
где NNNN - индекс (номер) изображения в галерее, например, 1.

Решение
Самое простое и быстрое исправление - открыть файл misc.php и закомментировать в нем содержание соответствующего оператора if:

PHP Code:

// ###################### Email Friend #########################
if ($_REQUEST['do'] == 'emailimage')
{
/* 
// commented by antispam

($hook = vBulletinHook::fetch_hook('ppgal_misc_email_image')) ? eval($hook) : false;

    $return = $vbulletin->input->clean_gpc('r', 'return', TYPE_NOHTML);

    $image = $db->query_first("
            SELECT imageid, images.title, images.catid, categories.title AS catttile, parentlist
            FROM " . TABLE_PREFIX . "ppgal_images AS images
            LEFT JOIN " . TABLE_PREFIX . "ppgal_categories AS categories USING (catid)
            WHERE imageid = '$imageid'
    ");

    check_image_view($image);

    $image['title'] = stripslashes($image['title']);
    $unhtml_imagetitle = unhtmlspecialchars(stripslashes($image['title']));

    $unhtml_username = stripslashes($vbulletin->userinfo['username']);

    $navbits = construct_dir_navbits($image['parentlist']);

    $navbits['showimage.php?' . $vbulletin->session->vars['sessionurl'] . "imageid=$imageid"] = $image['title'];
    $navbits[''] = $vbphrase['email_image'];
    $navbits = construct_navbits($navbits);
    eval('$navbar = "' . fetch_template('navbar') . '";'); 
    eval('$gallerynav = "' . fetch_template('adv_gallery_navbar') . '";');

    eval('print_output("' . fetch_template('ADV_GALLERY_EMAILIMAGE') . '");');

// commented by antispam
*/
} 


Возможно такая же проблема есть и в более свежих версиях vbgallery. А может быть есть и более простое решение
В любом случае, желаю всем успехов в борьбе со спамом.

P.S. Все русские названия команд в описании выше могут зависеть от автора локализации.