Selon divers rapports de ces derniers jours, il s'agit d'une vulnérabilité (Exemple rackspeed) dans toutes les versions de Magento 1.4 à 1.7.
À savoir, le fichier est images.php dans le dossier app / code / core / Mage / Cms / Helper / Wysiwyg vulnérables.
Il ya plusieurs façons de patcher le fichier. Via SSH ou via FTP. Nous voulons avoir la possibilité de consacrer le fichier sur le FTP de correction.
- Tout d'abord, le fichier est images.php du o.g. Ouvrir le répertoire.
- Dann die Stelle public function getCurrentPath() rechercher
- La zone
si (!$ce->_currentPath) { $currentPath = $this->getStorageRoot(); $path = $this->_getRequest()->getParam($ce->getTreeNodeName()); si ($chemin) { $path = $this->convertIdToPath($chemin); si (is_dir($chemin)) { $currentPath = $ path; } }
remplacer par ce
si (!$ce->_currentPath) { $currentPath = realpath($ce->getStorageRoot()); $node = $this->_getRequest()->getParam($ce->getTreeNodeName()); si ($nœud) { $path = realpath($ce->convertIdToPath($nœud)); si (is_dir($chemin) && faux !== stripos($chemin, $currentPath)) { $currentPath = $ path; } }
- Charger et supprimer les caches.
- Maintenant, l'écart doit être fermé
- Par ailleurs, le fichier est différent dans les versions Magento 1.4-1.7 autant que nous avons pu voir, en déplaçant simplement la date de copyright. Il est donc d'un seul et même images.php être utilisé pour toutes les versions de Magento.
Bien sûr, nous n'assumons aucune responsabilité quant à l'exactitude de l'information. Cette répétition et de simplifier, seules les informations provenant d'autres sources. Les modifications doivent d'abord être utilisés dans tous les cas dans les environnements de test.
Utilisé dans les versions Magento 1.4.1.1 à 1.7.0.2.. Demandez, Remarques, Suggestions? Volontiers!