Проблема в недостаточной фильтрации входящих данных, которая может привести к потенциальной угрозе в виде XSS атаки.
Именно с версии DLE 12.1 и ниже
Степень опасности: Высокая
Будем ‘фиксить’ эту проблему следующим способом..
Открываем файл engine/classes/parse.class.php и ищем строки:
function clear_url($url) {
global $config;
Ниже вставляем:
$url = str_replace(array("{", "}", "[", "]"),array("%7B", "%7D", "%5B", "%5D"), $url);
Ну вот и всё, фильтрация восстановлена!
Не забываем что данный метод предназначен для DLE 12.1 и все что ниже.
Источник: for-dle.ru