We launched new forums in March 2019—join us there. In a hurry for help with your website? Get Help Now!
MODX Community Forums Archive

Критическая уязвимость

    • 26085
    • 494 Posts
    SamZ Reply #1, 17 years, 6 months ago

    Для тех кто ещё не знает
    http://modxcms.com/forums/index.php/topic,8604.0.html
    хочу сообщить на русском.
    если у вас в php.ini
    register_globals ON
    То у вас проблеммы smiley

    вставляем код

    if(!isset($_SESSION['mgrValidated'])) {
    die("<b>INCLUDE_ORDERING_ERROR</b><br /><br />Please use the MODx Content Manager instead of accessing this file directly.");
}

    в файл /manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php

    А если у вас в php.ini
    register_globals OFF
    то всё нормально и ничего делать не нужно.


      revo или evo что выбрать?!

      [MODULE] CSV IMPORT ru en
      • 19164
      • 1,215 Posts
      Metaller Reply #2, 17 years, 6 months ago
      Ни на одном нормальном хостинге уже давно не включают RegisterGlobals ON
        DirectResize 0.9 beta. PHPThumb, sets of configurations, configuration, binded to specific path. No backward compatibility. | DirectResize 0.9. PHPThumb, наборы параметров, параметры, привязанные к определенным путям. Без обратной совместимости.

        Unfortunately, DirectResize project is closed. If you want to continue development, PM me for access to project page on Google Code. К сожалению, проект DirectResize закрыт. Если вы желаете продолжить разработки, обращайтесь через ПМ для получения доступа к репозиторию на Google Code.

        [PLUGIN] DirectResize - as Maxigallery but for single images :: Download :: [url=http://modxcms.com/forums/index.php/topic,21490]
        • 22301
        • 1,084 Posts
        openagate Reply #3, 17 years, 6 months ago
        Насчёт нормальности спорить не буду, но на sweb.ru сижу smiley мне нравится:)

        /manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php -- такого у меня нет, может, тут и дыра, ничего в этом не понимаю:)

        php_flag register_globals off в .htaccess добавить надо, у кого нет доступа к php.ini, если чё...

        наблюдения:

        турок-мудель прошёлся по парочке моих сайтов, с разных ip’ишников, причём со страниц гуглёвых, допускаю, что муделей несколько было... ну, так вот, проломить в modx ничего не смогли, даже пока всё было включено. но снесли нахуй каталог ссылок, который не от modx, попав на него с поисковика опять же.

        пусть и register_globals on, зато на sweb’е по умолчанию бекапы полные (база, папки все) хранятся 2 недели, что и спасло:)

        до базы добрались каталожной, сцуки... а вот на modx.ru снесли, вроде, только index.php...
          [img]http://jurist-info.ru/pic/rrr.jpg[/img]

          Безжалостный пияр!
          Artima -- неуч!
          Осторожно: преступная локализация -- modx-cms.ru
          Баштанник Андрей -- мегапрограммер из Белоруссии и поедатель говна, очень критично настроенный молодой человек!

          Дисклеймер для общительных: даю сам себе право транслировать в открытый эфир содержание лички, just for fun
          • 19164
          • 1,215 Posts
          Metaller Reply #4, 17 years, 6 months ago
          Quote from: openagate at Nov 06, 2006, 06:39 PM

          /manager/media/browser/mcpuk/connectors/php/Commands/Thumbnail.php

          Довольно частая, кстати, ситуация, когда движок ломают через WYSIWYG-редактор. Тоже самое было и на предыдущем движке, которым я занимался, там правда был не FCKeditor, а HTML-area.
            DirectResize 0.9 beta. PHPThumb, sets of configurations, configuration, binded to specific path. No backward compatibility. | DirectResize 0.9. PHPThumb, наборы параметров, параметры, привязанные к определенным путям. Без обратной совместимости.

            Unfortunately, DirectResize project is closed. If you want to continue development, PM me for access to project page on Google Code. К сожалению, проект DirectResize закрыт. Если вы желаете продолжить разработки, обращайтесь через ПМ для получения доступа к репозиторию на Google Code.

            [PLUGIN] DirectResize - as Maxigallery but for single images :: Download :: [url=http://modxcms.com/forums/index.php/topic,21490]