Una autorevole fonte ha diffuso un nuovo allarme per una falla di sicurezza di grande importanza!!!
Questa falla non colpisce in particolare PHPNuke ma TUTTI i softwares web (cms e altri). Per proteggervi la sola soluzione praticabile attualmente e più immediata è quella di INTERDIRE TUTTTI GLI UPLOAD sul vostro sito non importa il tipo di modulo col quale lo permettete.
Questa falla permette di caricare ciò che si vuole nel database come pure di prendere possesso del vostro FTP !!!
Ripetiamo, non è un attacco dedicato a PhpNuke o altri cms, ma interessa tutti i CMS che utilizzano l'upload, questa è più una falla di PHP che altra cosa, il pericolo è reale e serio, nessuna utility come ad es. Sentinel potrà fare niente per impedire che il codice malizioso vada in esecuzione.
Conclusione, impostate TUTTI I VOSTRI CHMOD a livello minimo e disattivate tutti i moduli con uploads compresi gli avatar sul Forum!!!
L'avviso ve lo abbiamo dato, ora in attesa di soluzioni che vi passeremo immediatamente, procedete alla difesa del vostro sito.

Una serie di piccole migliorie sono state fatte alla versione 1.3.0 come alcuni bug fixes, molti dei quali interessavano PHPNuke versione 7.4 e inferiori. La nuova versione 1.03.01 è stata updated con questa patch. Puoi scaricare l'ultima versione Qui , è richiesta la registrazione. Le vecchie versioni possono essere scaricate senza registrazione. Clicca sul link Read More per leggere le ultime caratteristiche/fixes disponibili in questa release.

E' stata scoperta una nuova vulnerabilità che passa il parametro pagetitle nel file header.php, non essendo propriamente filtrato prima di mostrarlo nuovamente all'utente (scopritore della vulnerabilità Janek Vind). 
Questa vulnerabilità permette di introdurre un codice esterno e può mandare in esecuzione codice html o scripts sul sito colpito. La vulnerabilità è stata confermata sulla versione Phpnuke 7.8 però può interessare anche tutte le versioni precedenti ed è considerata Critica. Pare che superi anche le difese di Sentinel pertanto si consiglia vivamente di installare la semplice patch.

Soluzione:

Edita il file mainfile.php ed alla fine dello script, subito prima del tag di chiusura ?> inserire questa riga di codice:

in modo da ottenere:

NukeResources ha rilasciato le ultime versioni di PHP-Nuke patchato v 3.2. Per utilizzare le patches occorre sovrascrivere tutti quei files che trovate nello zip. Per il momento potete scaricare le patches solo per le versioni da 7.6 a 7.9. Qui trovate i downloads: Nuke 7.6 - Nuke 7.7 - Nuke 7.8 e Nuke 7.9
Attenzione: queste patches sono valide e quindi utilizzabili solo se non avete effettuato modifiche sui files che andrete a sovrascrivere! In caso contrario sovrascrivendo andrete a cancellare tutte queste modifiche col rischio di mandare in tilt il vostro sito. L'alternativa è quella di patchare manualmente i files però la lista delle modifiche da fare non è stata ancora rilasciata e, si spera, arriverà a breve.

Bob Marion ha appena rilasciato NukeSentinel(tm) 2.4.2pl4. Ci sono due pacchetti, un pacchetto completo ed un pacchetto upgrade che contiene solo i files cambiati. Il pacchetto completo contiene anche l'update dell'ultimo IP2C. Gli updates pl4 e IP2C potete trovarli su NukeScripts.net e NukeScripts.us. E' stata anche annunciata l'uscita della versione 2.4.3 tra una o due settimane al termine dei test attualmente in corso.

E' stato rilevato un problema di protezione sulla routine CGI Auth. Per saperne di più e prendere gli script per la correzione manuale clicca qui FIX: NukeSentinel(tm) 2.4.x e probabilmente tutte le versioni precedenti . Per la patch da sovrascrivere clicca qui NukeSentinel™ v2.4.2pl3 Upgrade Patch

Nell'ultima settimana ci sono stati diversi attacchi a molti siti. La tecnica usata era quella di inserire una stringa contenente un url dal quale partiva un attacco in grado di superare la protezione di alcuni filtri di Nukesentinel. La fix per questa nuova SQL injection, scoperta da Feloci, è stata realizzata da Raven (http://ravenphpscripts.com) su segnalazionedi Technocrat. Si consiglia di installarla immediatamente! Leggi il Tutorial