Новости Joomla

0 Пользователей и 1 Гость просматривают эту тему.
  • 1 Ответов
  • 2844 Просмотров
*

b2z

  • Глобальный модератор
  • 7290
  • 778 / 0
  • Разраблю понемногу
Если на вашем сайте установлен VirtueMart версии ниже 2.6.10, то срочно обновляйтесь! В версиях ниже 2.6.10 была найдена серьезная уязвимость, позволяющая злоумышленнику получить права Суперпользователя.

http://joomlaportal.ru/news/security/2477-v-virtuemart-najdena-sereznaya-uyazvimost

Про ветку 1.x ничего сказать не могу. Уязвимость вроде как связана с классом JUser и передачей в него непроверенных данных. Возможно в ветке 1.x это тоже есть, но по этому вопросу нигде нет информации.
*

fsv

  • Moderator
  • 2765
  • 402 / 2
12.09.2014 в новостях VirtueMart.net появилась новая статья - SECURITY RELEASE OF VM2.6.10 AND VM2.9.9B
Полную версию новости можете прочесть по ссылке, здесь сообщу суть.

Если вы используете версию VirueMart ниже, чем 2.6.10, вам необходимо срочно обновиться.
Была обнаружена критическая уязвимость, которая была исправлена в рекордно короткие сроки.
Версии 2.6.10 (stable version) и 2.9.9b (in RC state) устраняют эту проблему.


Если вы не можете обновить VirtueMart, есть два способа устранения уязвимости:

1) Замените файл модели user.php
Самый простой способ – это скачать новые версии (2.6.10 или 2.9.9b), взять оттуда соответствующий файл и заменить свой по следующему пути:
/administrator/components/com_virtuemart/models/user.php

2) Изменение файла модели user.php
Если у вас в этот файл ранее были внесены изменения, и вы не можете его полностью заменить, внесите в него следующие изменения:
в файле /administrator/components/com_virtuemart/models/user.php
найдите  function store(&$data,$checkToken = TRUE) и добавьте в начале функции следующие строки:
Код: php
unset($data['isRoot']);
unset($data['groups']);
unset($data['_authGroups']);

Эта проблема относится не только к VirtueMart. Она может быть в любом стороннем расширении Joomla. Если разработчики используют модель Joomla без формы, в которой осуществляется фильтрация введенных данных, они должны позаботится о фильтрации самостоятельно, иначе есть возможность переопределить внутренние переменные объекта.

Как следует из контекста статьи, разработчики Joomla пока не прислушались к мнению разработчиков VM о том, что модель должна быть безопасна сама по себе, без использования вида или контроллера, и не согласны вносить изменения в JUser. Их аргументация: «Нет никаких проблем, пока вы используете Joomla Form.».
Веб-разработка: заказ. Только новая объемная разработка. Качественно, дорого.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Как собрать инсталлятор VirtueMart 4 самостоятельно вручную из репозитория

Автор okrym

Ответов: 0
Просмотров: 1249
Последний ответ 31.05.2023, 02:36:06
от okrym
Регистрация через VirtueMart

Автор cmd2017

Ответов: 8
Просмотров: 1841
Последний ответ 03.11.2019, 20:58:18
от Viclingvolive
Выход новой версии Virtuemart

Автор mmc

Ответов: 99
Просмотров: 6045
Последний ответ 25.09.2019, 23:24:15
от yrygvay
Обновление VirtueMart 3.2.14 до 3.4.0

Автор Stasweb

Ответов: 1
Просмотров: 2437
Последний ответ 20.09.2018, 21:48:47
от Sandruk1
Joomla + VirtueMart

Автор tromba

Ответов: 6
Просмотров: 1910
Последний ответ 07.09.2018, 18:13:21
от voland