Jump to content
Search In
  • More options...
Find results that contain...
Find results in...

Уязвимость (ДЫРА) CKEditor + Responsive Filemanager


Recommended Posts

Всем привет и с праздниками - ocStore 3.0.2.0 установил вот это дополнение - https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=32261

 

Теперь когда добавляешь фото - выбор на сервере - дополнение открывает файл менеджер новый, если получившуюся ссылку скопировать то даже не залогинившись с любого ПК получаем сразу весь каталог фото сайта ) Можно поздравить с новым годом кого угодно с данным расширением. А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

 

Link to post
Share on other sites

49 минут назад, qwertyman сказал:

А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

официальный сайт всего лишь дает площадку где любой желающий может поделиться своим дополнением, за деньги или бесплатно. Официальный сайт не осуществляет кодревью... Так что там может быть все что угодно.

  • +1 1
Link to post
Share on other sites

1 час назад, qwertyman сказал:

Всем привет и с праздниками - ocStore 3.0.2.0 установил вот это дополнение - https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=32261

 

Теперь когда добавляешь фото - выбор на сервере - дополнение открывает файл менеджер новый, если получившуюся ссылку скопировать то даже не залогинившись с любого ПК получаем сразу весь каталог фото сайта ) Можно поздравить с новым годом кого угодно с данным расширением. А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

 

Писал как то о проблеме схожей с модулем подписки на новости (free) на опенкарт ком. Коммент со временем подтёрли, модуль с дырой остался. Да и масса бесплатных модификаторов содержат в себе  сюрпризы разные. Отсюда вывод, качай но с головой ) С Наступающим!

  • +1 1
Link to post
Share on other sites
9 часов назад, Jurgen сказал:

Так что там может быть все что угодно.

это печально. В чем тогда "официальность" площадки и чем она отличается от обычной "помойки"...Размышления...

 

Link to post
Share on other sites

39 минут назад, anboza сказал:

это печально. В чем тогда "официальность" площадки и чем она отличается от обычной "помойки"...Размышления...

 

Площадка просто урегулирует вопрос приема оплаты и передачи платного модуля. Все

Link to post
Share on other sites

19 часов назад, Jurgen сказал:

Площадка просто урегулирует вопрос приема оплаты и передачи платного модуля. Все

в общем да, но не совсем

потому что глобальный саппорт площадки не в состоянии мониторить все подряд

но вполне реагируют на запросы при обращении к ним напрямую (см.ниже)

 

В 31.12.2019 в 19:10, Tom сказал:

Писал как то о проблеме схожей с модулем подписки на новости (free) на опенкарт ком. Коммент со временем подтёрли, модуль с дырой остался

там у авторов есть возможность чистки комментариев

что в принципе разумно и помогает от неадекватов/спамеров

 

да и вываливать инфу о критических багах в паблик не стоит

для этого либо напрямую автору писать, либо лучше создать реквест

лучше - потому что при реквесте создается отдельный тикет, также доступный для глобального саппорта площадки

и тут уже нерадивому автору простым игнором не отвертеться

 

  • +1 1
Link to post
Share on other sites

5 часов назад, AlexDW сказал:

да и вываливать инфу о критических багах в паблик не стоит

Если я сделал 10 сайтов и в них дыра и кто-то написал об этом в паблик, что в этом плохого?  Это мой косяк который должен быть устранен, не более, не менее. Как раз все официально работающие и признающие то что они люди и могут делать ошибки, сами об этом пишут если их находят, во всем ПО так вроде.   

Link to post
Share on other sites

4 минуты назад, qwertyman сказал:

Если я сделал 10 сайтов и в них дыра и кто-то написал об этом в паблик, что в этом плохого?

то, что пока вы будете думать и работать над устранением проблемы - кто-то может воспользоваться обнаруженной уязвимостью в своих целях

 

потому про найденные уязвимости и принято информировать авторов тет-а-тет в первую очередь

это уже потом, в случае неадекватной реакции автора (или ее полного отсутствия), можно озадачиться вынесением вопроса на паблик

и то, с оглядкой на ситуацию и возможные последствия (см.выше)

 

на всякий случай - речь именно про серьезные уязвимости, ведущие к компрометации

а не банальные ошибки верстки, мелкие баги и тп

  • +1 2
Link to post
Share on other sites

По моему это не тет-а-тет, а попытка перенести проблему только на голову нашедшего эту самую проблему. Поэтому многие и пишут, автор как сайта, так и дополнения не несет какой-либо ответственности за любой возможный ущерб.  Я возможно и без автора решу эту проблему, и тут даже и напишу, (просто удалю да и все :-) ) искать где он есть и размещен и отклика от него я лично не намерен. Здесь указана найденная уязвимость тем более я от куда знаю, может она только в связке с ocStore 3.0.2.0 появилась, может я и сам начудил. Кому надо, тот будет знать.  

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.