Theo báo cáo khác nhau trong những ngày gần đây, có một lỗ hổng bảo mật (thí dụ rackspeed) tất cả các phiên bản Magento của 1.4 đến 1.7.
Cụ thể, các tập tin là thư mục images.php app / code / core / Mage / CMS / Helper / WYSIWYG dễ bị tổn thương.
Có một số cách để vá các tập tin. Về SSH hoặc FTP. Chúng tôi muốn có cơ hội để cống hiến các tập tin thông qua FTP để vá.
- Đầu tiên, các tập tin là images.php từ o.g. thư mục mở.
- Sau đó, thay thế chức năng công cộng getCurrentPath() tìm kiếm
- khu vực
nếu (!$điều này->_currentPath) { $currentPath = $this->getStorageRoot(); $path = $this->_getRequest()->getParam($điều này->getTreeNodeName()); nếu ($con đường) { $path = $this->convertIdToPath($con đường); nếu (is_dir($con đường)) { $currentPath = $ path; } }
thay thế các
nếu (!$điều này->_currentPath) { $currentPath = realpath($điều này->getStorageRoot()); $node = $this->_getRequest()->getParam($điều này->getTreeNodeName()); nếu ($nút) { $path = realpath($điều này->convertIdToPath($nút)); nếu (is_dir($con đường) && sai !== stripos($con đường, $currentPath)) { $currentPath = $ path; } }
- Rõ ràng và Upload cache.
- Bây giờ, khoảng cách cần phải đóng cửa
- Ngẫu nhiên, các tập tin là khác nhau trong các phiên bản Magento 1.4-1.7 như xa như chúng ta có thể thấy, chỉ cần di chuyển ngày Bản quyền. Nó có thể do một và images.php cùng được sử dụng cho tất cả các phiên bản Magento.
Tất nhiên, chúng tôi không chịu bất kỳ trách nhiệm về tính chính xác của các thông tin. Điều này lặp lại và đơn giản hóa, chỉ có các thông tin từ các nguồn khác. Những thay đổi đầu tiên nên được sử dụng trong trường hợp nào trong các môi trường thử nghiệm.
Được sử dụng trong các phiên bản Magento 1.4.1.1 đến 1.7.0.2.. câu hỏi, bình luận, gợi ý? vui vẻ!