Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Уязвимость (ДЫРА) CKEditor + Responsive Filemanager


qwertyman

Recommended Posts

Всем привет и с праздниками - ocStore 3.0.2.0 установил вот это дополнение - https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=32261

 

Теперь когда добавляешь фото - выбор на сервере - дополнение открывает файл менеджер новый, если получившуюся ссылку скопировать то даже не залогинившись с любого ПК получаем сразу весь каталог фото сайта ) Можно поздравить с новым годом кого угодно с данным расширением. А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

 

Надіслати
Поділитися на інших сайтах

49 минут назад, qwertyman сказал:

А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

официальный сайт всего лишь дает площадку где любой желающий может поделиться своим дополнением, за деньги или бесплатно. Официальный сайт не осуществляет кодревью... Так что там может быть все что угодно.

  • +1 1
Надіслати
Поділитися на інших сайтах


1 час назад, qwertyman сказал:

Всем привет и с праздниками - ocStore 3.0.2.0 установил вот это дополнение - https://www.opencart.com/index.php?route=marketplace/extension/info&extension_id=32261

 

Теперь когда добавляешь фото - выбор на сервере - дополнение открывает файл менеджер новый, если получившуюся ссылку скопировать то даже не залогинившись с любого ПК получаем сразу весь каталог фото сайта ) Можно поздравить с новым годом кого угодно с данным расширением. А когда качаешь все с такого типа сайта оф. и не думаешь даже что там может быть подарок в виде открытого доступа, просто по ссылке.    

 

Писал как то о проблеме схожей с модулем подписки на новости (free) на опенкарт ком. Коммент со временем подтёрли, модуль с дырой остался. Да и масса бесплатных модификаторов содержат в себе  сюрпризы разные. Отсюда вывод, качай но с головой ) С Наступающим!

  • +1 1
Надіслати
Поділитися на інших сайтах

9 часов назад, Jurgen сказал:

Так что там может быть все что угодно.

это печально. В чем тогда "официальность" площадки и чем она отличается от обычной "помойки"...Размышления...

 

Надіслати
Поділитися на інших сайтах

39 минут назад, anboza сказал:

это печально. В чем тогда "официальность" площадки и чем она отличается от обычной "помойки"...Размышления...

 

Площадка просто урегулирует вопрос приема оплаты и передачи платного модуля. Все

Надіслати
Поділитися на інших сайтах


19 часов назад, Jurgen сказал:

Площадка просто урегулирует вопрос приема оплаты и передачи платного модуля. Все

в общем да, но не совсем

потому что глобальный саппорт площадки не в состоянии мониторить все подряд

но вполне реагируют на запросы при обращении к ним напрямую (см.ниже)

 

В 31.12.2019 в 19:10, Tom сказал:

Писал как то о проблеме схожей с модулем подписки на новости (free) на опенкарт ком. Коммент со временем подтёрли, модуль с дырой остался

там у авторов есть возможность чистки комментариев

что в принципе разумно и помогает от неадекватов/спамеров

 

да и вываливать инфу о критических багах в паблик не стоит

для этого либо напрямую автору писать, либо лучше создать реквест

лучше - потому что при реквесте создается отдельный тикет, также доступный для глобального саппорта площадки

и тут уже нерадивому автору простым игнором не отвертеться

 

  • +1 1
Надіслати
Поділитися на інших сайтах

5 часов назад, AlexDW сказал:

да и вываливать инфу о критических багах в паблик не стоит

Если я сделал 10 сайтов и в них дыра и кто-то написал об этом в паблик, что в этом плохого?  Это мой косяк который должен быть устранен, не более, не менее. Как раз все официально работающие и признающие то что они люди и могут делать ошибки, сами об этом пишут если их находят, во всем ПО так вроде.   

Надіслати
Поділитися на інших сайтах

4 минуты назад, qwertyman сказал:

Если я сделал 10 сайтов и в них дыра и кто-то написал об этом в паблик, что в этом плохого?

то, что пока вы будете думать и работать над устранением проблемы - кто-то может воспользоваться обнаруженной уязвимостью в своих целях

 

потому про найденные уязвимости и принято информировать авторов тет-а-тет в первую очередь

это уже потом, в случае неадекватной реакции автора (или ее полного отсутствия), можно озадачиться вынесением вопроса на паблик

и то, с оглядкой на ситуацию и возможные последствия (см.выше)

 

на всякий случай - речь именно про серьезные уязвимости, ведущие к компрометации

а не банальные ошибки верстки, мелкие баги и тп

  • +1 2
Надіслати
Поділитися на інших сайтах

По моему это не тет-а-тет, а попытка перенести проблему только на голову нашедшего эту самую проблему. Поэтому многие и пишут, автор как сайта, так и дополнения не несет какой-либо ответственности за любой возможный ущерб.  Я возможно и без автора решу эту проблему, и тут даже и напишу, (просто удалю да и все :-) ) искать где он есть и размещен и отклика от него я лично не намерен. Здесь указана найденная уязвимость тем более я от куда знаю, может она только в связке с ocStore 3.0.2.0 появилась, может я и сам начудил. Кому надо, тот будет знать.  

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.