Уязвимость (ДЫРА) CKEditor + Responsive Filemanager

[qwertyman]

Всем привет и с праздниками - ocStore 3.0.2.0 установил вот это дополнение - https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=32261

 

Теперь когда добавляешь фото - выбор на сервере - дополнение открывает файл менеджер новый, если получившуюся ссылку скопировать то даже не залогинившись с любого ПК получаем сразу весь каталог фото сайта ) Можно поздравить с новым годом кого угодно с данным расширением. А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

 

[Jurgen]

  В 31.12.2019 в 12:41, qwertyman сказав:

А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

Expand  

официальный сайт всего лишь дает площадку где любой желающий может поделиться своим дополнением, за деньги или бесплатно. Официальный сайт не осуществляет кодревью... Так что там может быть все что угодно.

[Tom]

  В 31.12.2019 в 12:41, qwertyman сказав:

Всем привет и с праздниками - ocStore 3.0.2.0 установил вот это дополнение - https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=32261

 

Теперь когда добавляешь фото - выбор на сервере - дополнение открывает файл менеджер новый, если получившуюся ссылку скопировать то даже не залогинившись с любого ПК получаем сразу весь каталог фото сайта ) Можно поздравить с новым годом кого угодно с данным расширением. А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

 

Expand  

Писал как то о проблеме схожей с модулем подписки на новости (free) на опенкарт ком. Коммент со временем подтёрли, модуль с дырой остался. Да и масса бесплатных модификаторов содержат в себе  сюрпризы разные. Отсюда вывод, качай но с головой ) С Наступающим!

[anboza]

  В 31.12.2019 в 13:31, Jurgen сказав:

Так что там может быть все что угодно.

Expand  

это печально. В чем тогда "официальность" площадки и чем она отличается от обычной "помойки"...Размышления...

 

[Jurgen]

  В 01.01.2020 в 12:01, anboza сказав:

это печально. В чем тогда "официальность" площадки и чем она отличается от обычной "помойки"...Размышления...

 

Expand  

Площадка просто урегулирует вопрос приема оплаты и передачи платного модуля. Все

[AlexDW]

  В 01.01.2020 в 12:41, Jurgen сказав:

Площадка просто урегулирует вопрос приема оплаты и передачи платного модуля. Все

Expand  

в общем да, но не совсем

потому что глобальный саппорт площадки не в состоянии мониторить все подряд

но вполне реагируют на запросы при обращении к ним напрямую (см.ниже)

 

  В 31.12.2019 в 14:10, Tom сказав:

Писал как то о проблеме схожей с модулем подписки на новости (free) на опенкарт ком. Коммент со временем подтёрли, модуль с дырой остался

Expand  

там у авторов есть возможность чистки комментариев

что в принципе разумно и помогает от неадекватов/спамеров

 

да и вываливать инфу о критических багах в паблик не стоит

для этого либо напрямую автору писать, либо лучше создать реквест

лучше - потому что при реквесте создается отдельный тикет, также доступный для глобального саппорта площадки

и тут уже нерадивому автору простым игнором не отвертеться

 

[qwertyman]

  В 02.01.2020 в 08:44, AlexDW сказав:

да и вываливать инфу о критических багах в паблик не стоит

Expand  

Если я сделал 10 сайтов и в них дыра и кто-то написал об этом в паблик, что в этом плохого?  Это мой косяк который должен быть устранен, не более, не менее. Как раз все официально работающие и признающие то что они люди и могут делать ошибки, сами об этом пишут если их находят, во всем ПО так вроде.   

[AlexDW]

  В 02.01.2020 в 14:32, qwertyman сказав:

Если я сделал 10 сайтов и в них дыра и кто-то написал об этом в паблик, что в этом плохого?

Expand  

то, что пока вы будете думать и работать над устранением проблемы - кто-то может воспользоваться обнаруженной уязвимостью в своих целях

 

потому про найденные уязвимости и принято информировать авторов тет-а-тет в первую очередь

это уже потом, в случае неадекватной реакции автора (или ее полного отсутствия), можно озадачиться вынесением вопроса на паблик

и то, с оглядкой на ситуацию и возможные последствия (см.выше)

 

на всякий случай - речь именно про серьезные уязвимости, ведущие к компрометации

а не банальные ошибки верстки, мелкие баги и тп

[qwertyman]

По моему это не тет-а-тет, а попытка перенести проблему только на голову нашедшего эту самую проблему. Поэтому многие и пишут, автор как сайта, так и дополнения не несет какой-либо ответственности за любой возможный ущерб.  Я возможно и без автора решу эту проблему, и тут даже и напишу, (просто удалю да и все  ) искать где он есть и размещен и отклика от него я лично не намерен. Здесь указана найденная уязвимость тем более я от куда знаю, может она только в связке с ocStore 3.0.2.0 появилась, может я и сам начудил. Кому надо, тот будет знать.