Благодаря High-Tech Bridge Security Research Lab и содействию The matrix была закрыта интерсная и сложно реализуемая уязвимость (blind SQL injection). Повода для паники нет, для использования этой уязвимости нужны хорошие знания sql запросов, и множество других зависимостей. Подробности мы, разумеется, раскрывать не будем.
Кроме этого мы включили в патч исправления известных нам ошибок:
- не сохранялись параметры сортировки для рубрики каталога в админке;
- для авторов, модераторов и администарторов клубов не показывались ссылки для редактирования постов блогов;
- улучшена совместимость с php 5.4 и выше;
- при загрузке фотографий в общих альбомах названия формировались всегда в нижнем регистре без пробелов;
- при просмотре статьи некорректно обрабатывались colorbox изображения, обернутые в ссылку;
- для шаблона по умолчанию исправлен css общего меню.
Мы рекомендуем всем обязательно обновиться.
Информация для разработчиков: в метод request ядра добавлен функционал, позволяющий получать переменную из запроса только если она присутствует в сформированном вами списке, в противном случае присваивать значение по умолчанию, например,
- <span style="color: #000088;">$orderto</span> <span style="color: #339933;">=</span> cmsCore<span style="color: #339933;">::</span><span style="color: #004000;">request</span><span style="color: #009900;">(</span><span style="color: #0000ff;">'orderto'</span><span style="color: #339933;">,</span> <a href="http://www.php.net/array"><span style="color: #990000;">array</span></a><span style="color: #009900;">(</span><span style="color: #0000ff;">'asc'</span><span style="color: #339933;">,</span><span style="color: #0000ff;">'desc'</span><span style="color: #009900;">)</span><span style="color: #339933;">,</span> <span style="color: #0000ff;">'desc'</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span>
Таким образом значение переменной может только одним из заданного вами списка.
Как обновиться
Для 1.10.3: скачать патч, распаковать его содержимое в корень вашей web директории с заменой файлов.
Для более младших версий: внести самостоятельно исправления, обозначенные в этом коммите.
Основной дистрибутив InstantCMS 1.10.3 в разделе скачать обновлен.
Best regards, InstantSoft Team.
Поддержите проект
Вы можете стать официальным спонсором или оказать другую поддержку. Вы также здорово поможете, если поставите звезду на GitHub.
Реклама #
sotastroy 11 лет назад #
Алексей Т 11 лет назад #
Су-27 11 лет назад #
akhasanov 11 лет назад #
Fuze 11 лет назад #
всех версий InstantCMS, только в других версиях она может наблюдаться и/или в других местах.
letsgo 11 лет назад #
lezginka.ru 11 лет назад #
сейчас решил установить "новую", после установки модуль "нов.статьи" не вывод статьи из каталога, возможно это только у меня такое, но если что я предупредил :)
kirkr 11 лет назад #
Fuze 11 лет назад #
перезалил архив, кто уже скачал перекачайте. не вложил один файл.
Dost 11 лет назад #
Saw 11 лет назад #
m0skit 11 лет назад #
Евгений Фоменко 11 лет назад #
Fuze 11 лет назад #
Евгений Фоменко 11 лет назад #
Роман Синицын 11 лет назад #
Обновляемся.
Raiden 11 лет назад #
ЗЫ - в остальном всё работает.
Raiden 11 лет назад #
kirkr 11 лет назад #
• Mike • 11 лет назад #
если коротко:
запрещены (удалены) live(); die(); — как замена delegate() для несуществующих на данный момент элементов
или on(); off(); one(); для существующих.
запрещен (удален) .browser()
.toggle() влияет теперь только на свойства hide и show и не поддерживает «дерево» функций;
.attr() теперь только для чтения атрибута, для удаления используем .removeAttr()
или пользуемся .prop() для «нативных» свойств (не атрибутов тегов также как в классическом js)
типа disabled, selected, checked; — использование .prop('disabled', true || false );
более подробно: jQuery Core 1.9 Upgrade Guide
hummer7887 11 лет назад #
Nemoi 11 лет назад #
Юрий (Pizza Celentano) 11 лет назад #
однако цифры (номера фотографий), которые добавляются к названию фотографии в фотоальбоме так и остались без пробелов от основного названия, например если фото назвать "Вася", то будет так "Вася01" и т.д. Сейчас на сайте загружал фотографии с таким именем "День рождения - 9 лет", а получилось так "День рождения - 9 лет98" ))))
Крот 11 лет назад #
Все на самом деле очень просто - похоже, как-будто бы забыли сделать...
отписал Fuze`у
я бы настоятельно рекомендовал сделать токены безопасности ограниченными по времени и запретить открытие сайта на InstantCMS во вложенном фрейме(iframe)
Fuze 11 лет назад #
Fuze 11 лет назад #
Сергей 11 лет назад #
Евгений 11 лет назад #
БОРОДИСТ 11 лет назад #
P.S. Хотя я думал, что вот-вот уже 2.0 выйдет :(
No Name 11 лет назад #
Владимир 11 лет назад #
No Name 11 лет назад #
Владимир 11 лет назад #
traffs 11 лет назад #
traffs 11 лет назад #
traffs 10 лет назад #
nedoriko 11 лет назад #
Евгений Фоменко 10 лет назад #
Fuze 10 лет назад #
Т.к. в сети гуляет якобы "очень крутая xss уязвимость", сообщаю, что ничего сверх страшного в ней нет.
Исправление можно забрать тут.
Основной дистрибутив исправлен.
Сообщил мне об уязвимости пользователь под ником "gaara", за что ему спасибо.
Max 10 лет назад #
Подскажите пожалуйста, в /core/cms.php (строка 2211) в теге a не включен параметр target
Fuze 10 лет назад #
Евгений Фоменко 10 лет назад #
Одна строка смущает:
Кстати, может кто подскажет, есть у нас rss лента, которая отдает последние записи или это она и есть? Как увеличить количество записей: