1. Opis błędu
Brak sprawdzania czy usuwany awatar gracza, jest rzeczywiście jego awatarem, czy może innym plikiem.
2. Zagrożenie
Możliwość usunięcia dowolnego awataru lub co gorsza dowolnego pliku na serwerze.
3. Rozwiązanie
[OTWÓRZ]
account.php
[ZNAJDŹ]
Kod php:
    if (isset($_GET['step']) && $_GET['step'] == 'usun'
    { 
[DODAJ PO]
Kod php:
        if ($_POST['av'] != $player -> avatarerror(ERROR);