Благодаря High-Tech Bridge Security Research Lab и содействию The matrix была закрыта интерсная и сложно реализуемая уязвимость (blind SQL injection). Повода для паники нет, для использования этой уязвимости нужны хорошие знания sql запросов, и множество других зависимостей. Подробности мы, разумеется, раскрывать не будем.
Кроме этого мы включили в патч исправления известных нам ошибок:
- не сохранялись параметры сортировки для рубрики каталога в админке;
- для авторов, модераторов и администарторов клубов не показывались ссылки для редактирования постов блогов;
- улучшена совместимость с php 5.4 и выше;
- при загрузке фотографий в общих альбомах названия формировались всегда в нижнем регистре без пробелов;
- при просмотре статьи некорректно обрабатывались colorbox изображения, обернутые в ссылку;
- для шаблона по умолчанию исправлен css общего меню.
Мы рекомендуем всем обязательно обновиться.
Информация для разработчиков: в метод request ядра добавлен функционал, позволяющий получать переменную из запроса только если она присутствует в сформированном вами списке, в противном случае присваивать значение по умолчанию, например,
- <span style="color: #000088;">$orderto</span> <span style="color: #339933;">=</span> cmsCore<span style="color: #339933;">::</span><span style="color: #004000;">request</span><span style="color: #009900;">(</span><span style="color: #0000ff;">'orderto'</span><span style="color: #339933;">,</span> <a href="http://www.php.net/array"><span style="color: #990000;">array</span></a><span style="color: #009900;">(</span><span style="color: #0000ff;">'asc'</span><span style="color: #339933;">,</span><span style="color: #0000ff;">'desc'</span><span style="color: #009900;">)</span><span style="color: #339933;">,</span> <span style="color: #0000ff;">'desc'</span><span style="color: #009900;">)</span><span style="color: #339933;">;</span>
Таким образом значение переменной может только одним из заданного вами списка.
Как обновиться
Для 1.10.3: скачать патч, распаковать его содержимое в корень вашей web директории с заменой файлов.
Для более младших версий: внести самостоятельно исправления, обозначенные в этом коммите.
Основной дистрибутив InstantCMS 1.10.3 в разделе скачать обновлен.
Best regards, InstantSoft Team.
Поддержите проект
Вы можете стать официальным спонсором или оказать другую поддержку. Вы также здорово поможете, если поставите звезду на GitHub.
всех версий InstantCMS, только в других версиях она может наблюдаться и/или в других местах.
сейчас решил установить "новую", после установки модуль "нов.статьи" не вывод статьи из каталога, возможно это только у меня такое, но если что я предупредил :)
перезалил архив, кто уже скачал перекачайте. не вложил один файл.
Обновляемся.
ЗЫ - в остальном всё работает.
если коротко:
запрещены (удалены) live(); die(); — как замена delegate() для несуществующих на данный момент элементов
или on(); off(); one(); для существующих.
запрещен (удален) .browser()
.toggle() влияет теперь только на свойства hide и show и не поддерживает «дерево» функций;
.attr() теперь только для чтения атрибута, для удаления используем .removeAttr()
или пользуемся .prop() для «нативных» свойств (не атрибутов тегов также как в классическом js)
типа disabled, selected, checked; — использование .prop('disabled', true || false );
более подробно: jQuery Core 1.9 Upgrade Guide
однако цифры (номера фотографий), которые добавляются к названию фотографии в фотоальбоме так и остались без пробелов от основного названия, например если фото назвать "Вася", то будет так "Вася01" и т.д. Сейчас на сайте загружал фотографии с таким именем "День рождения - 9 лет", а получилось так "День рождения - 9 лет98" ))))
Все на самом деле очень просто - похоже, как-будто бы забыли сделать...
отписал Fuze`у
я бы настоятельно рекомендовал сделать токены безопасности ограниченными по времени и запретить открытие сайта на InstantCMS во вложенном фрейме(iframe)
P.S. Хотя я думал, что вот-вот уже 2.0 выйдет :(
Т.к. в сети гуляет якобы "очень крутая xss уязвимость", сообщаю, что ничего сверх страшного в ней нет.
Исправление можно забрать тут.
Основной дистрибутив исправлен.
Сообщил мне об уязвимости пользователь под ником "gaara", за что ему спасибо.
Подскажите пожалуйста, в /core/cms.php (строка 2211) в теге a не включен параметр target
Одна строка смущает:
Кстати, может кто подскажет, есть у нас rss лента, которая отдает последние записи или это она и есть? Как увеличить количество записей: