Обновление безопасности для ICMS 1.8

+47
1.53K
Благодаря бдительным пользователям мы обратили внимание на потенциальную xss уязвимость.
Эксплуатация ее достаточно сложна и нетривиальна, но мы все же решили перестраховаться и выпустить патч.
Это не критическая уязвимость, страшного ничего нет.

Качаем патч отсюда.

Внимание!
Были изменены в том числе множество файлов шаблона (ИЗМЕНЕНИЯ СМОТРЕТЬ ТУТ), при обновлении будьте внимательны, не забываем делать бекапы.

Данный патч так же решает проблему при удалении профиля.
+1
mihalich mihalich 13 лет назад #
Спасибо! +
0
abasia abasia 13 лет назад #
Спасибо
+1
Владимир Владимир 13 лет назад #
А данный патч вносится в свежий релиз? Иными словами, если я сегодня скачаю версию 1.8, то этот патч уже будет в этой версии или нужно пропатчить отдельно?
0
Fuze Fuze 13 лет назад #
А данный патч вносится в свежий релиз?
изменения в основной дистрибутив внесем чуть позже
0
Blit Blit 13 лет назад #
А какие изменения произошли в файлах шаблона?
-1
Fuze Fuze 13 лет назад #
прочитайте внимательно пост, пощелкайте по ссылкам.
0
Edik_Salonikski Edik_Salonikski 13 лет назад #
СПАСИБО
0
nikitka nikitka 13 лет назад #
Спасибо за оперативность!
0
Alexneva Alexneva 13 лет назад #
Спасибо! Очень важная работа!
0
oll oll 13 лет назад #
Долгожданные htmlspecialchars и escape.Спасибо,жить становится все легче и прятнее.
0
Александр Александр 13 лет назад #
большое вам спасибо)))) Вы Лучшие!
Олег Васильевич я Олег Васильевич я 13 лет назад #
Комментарий удален
0
EXID EXID 13 лет назад #
Здравствуйте!
Хотелось бы уточнить про один файлик "/components/users/frontend.php" который лежит в архиве и которого нет в списке здесь.
Просто в этом файле у меня менялось несколько раз что то, уже не помню что, как то не хочется весь файл строчка за строчкой проверять.
Где посмотреть изменения вносившиеся в него, если таковые имеются?
Спасибо!
0
artlab artlab 13 лет назад #
используйте WinMerge или Beyond Compare
0
artlab artlab 13 лет назад #
сравните свой файл и из оригинального дистрибутива,а после с патчем.Ну я бы сделал так..))
-3
Segvec Segvec 13 лет назад #
ВЫ СУДА ХОТЬ НЕМНОГО ЗАГЛЯДЫВАЙТЕ ТО https://forum.antichat.ru/thread189469.html
+1
Марат Марат 13 лет назад #
Прежде чем так громко кричать, посмотрели бы, что последнее сообщение в приведенной Вами теме почти годичной давности и для версии 1.6.2 . А во дворе уже версия 1.8. Тема не раз поднималась. И думаю, разработчики уже давно закрыли выявленные там уязвимости.
+2
Fuze Fuze 13 лет назад #
с умничали?
уважаемый автор 90% постов приведенных там, перед тем как постить там, уведомлял нас и после того, как мы выпускали патч - публиковал. если ситуацией не владеете - не пишите.
0
artlab artlab 13 лет назад #
Перестали грузиться файлы в профиле.Это может быть как-то связано с данным патчем?
+1
artlab artlab 13 лет назад #
Собственно,сам и отвечаю.
/components/users/frontend.php
Код PHP:
 $list_files = array();

            foreach($_FILES['upfile'] as $key=>$value) {
                foreach($value as $k=>$v) { $list_files['upfile'.$k][$key] = $v; }
            }

            foreach ($list_files as $key=>$data_array) {
После вставки этого кода из патча перестают грузиться файлы.
0
anapahram anapahram 13 лет назад #
Относительно загрузки файлов в архив профиля, у меня тоже не работает, пишет "Ни один файл не был загружен. Может файлы слишком большие?" - и это с любыми файлами так. Был бы признателен за скорый ответ.
0
abasia abasia 13 лет назад #
Та же бедаsad
0
abasia abasia 13 лет назад #
Сравнил с помощью WinMerge файл components/users/frontend.php из патча и на сайте, добавил строки из файла патча и загрузка у пользователей заработала.

Еще от автора

InstantCMS 2.17.0 релиз-кандидат
Тестируем релиз-кандидат InstantCMS 2.17.0. От того, как мы с вами выявим баги в новой версии, зависит стабильность релиза.
Как собрать обновление и релиз InstantCMS
Небольшой экскурс в сборку дистрибутива установки и обновления InstantCMS с GitHub.
InstantCMS 2.14.0 release candidate
Здравствуйте Тестируем релиз-кандидат InstantCMS 2.14.0. От того, как мы с вами выявим баги в новой версии, зависит стабильность релиза.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.