Evolution CMS 1.3.6

Безопасность
Новая версия обновляться обязательно, так как закрыта проблема с безопастностью!!!
github.com/evolution-cms/evolution/releases/tag/1.3.6

Для 1.2.2 используем вот этот патч (так же доступен в extras):
github.com/extras-evolution/security-fix/tree/v1.2.2

Так же если у вас версия 1.3+ но до этого были более ранние то удалите старую тему:
manager/media/style/MODxRE2_DropdownMenu

В офф версии MODX EVO дыра только с версии 1.2.2
в моих кастомных сборках с версии 1.2.1 с появлением новой темы, но там проще или так же заменить файлик или лучше обновиться. так же Поможет решение просто удалить тему если не используете ее

71 комментарий

avatar
Приветствую. В версиях ниже 1.2 тоже удалять эту тему или дыра только в версиях более 1.2.2?
avatar
Если используете более ранние версии то логично обновить до версии 1.2.2
или обновить файлик ajax.php в теме
avatar
Если не используете новую тему и не хотите обновлять то можно просто удалить тему
avatar
Не совсем понял. Если стоит к примеру 1.3.2 или 1.3.3, полученная обновлением с более старых, то нужно:
1) удалить папку manager/media/style/MODxRE2_DropdownMenu
2) обновиться до 1.3.6.

Так?
avatar
В общем если есть файл, то просто обновляйте.
avatar
Понял, спасибо.
avatar
Упс. У меня 1.3.3 только что взломали. Точнее, только что обнаружил…
avatar
Ну дык а зачем я выпускал версию 1.3.6 с описанием что есть замечания по безопастности? Как раз для того что б закрыть дырки. Поэтому рекомендую обновляться по быстрее.
avatar
Так расслабился… привык, что ломают не сразу после обнародования критических дыр, а пару апдейтов спустя :)
avatar
Ложный шухер. Не вычистил, оказывается, всю заразу с прошлого взлома. Один файл пропустил, у него внутри настолько сильно обфусцированный код, то ни evocheck, ни айболит на него толком не ругнулись. Айболит, правда, в общем списке подозрительных показал, но персонального ругательства на него не вывел.
avatar
Обновился из админки с Evolution 1.3.3 до Evolution 1.3.6.
Перестали выводится чанки и сниппеты списком, хотя в выпадающем меню они отображаются, и открываются для редактирования. ТВ, шаблоны и плагины видятся нормально. В табе Общий просмотр чанков и сниппетов также нет.
Сайт на локальном OpenServer 5.2.2, PHP 5.6, MySQL 5.6
Ставить систему заново и все чанки-сниппеты-и тд по новой прописывать перспектива не впечатляет. Пришлось откатить назад.

Подскажите, как убрать дырку без полного обновления версии ядра?
Папки manager/media/style/MODxRE2_DropdownMenu нет, есть только /default, что и прописано в конфигурации. В теме Default файл ajax.php присутствует.
avatar
через Extras -> Ситема — Security FIX for 1.2.2 (core)

Не?
Комментарий отредактирован 2017-09-07 12:21:00 пользователем zloyxrom
avatar
Установил, визуально ничего не поменялось. Может для 1.3.3. свое лечение?
avatar
В 1.3.3 надо менять строки кода поэтому там проще просто обновить на 1.3.6 и не мучаться )
Я специально не выкладывал патч ибо 1.3.6 и есть патч к ветке 1.3.*
avatar
Поставил 1.3.6. с нуля, потом через бд перенес все что нужно. Не лучший вариант обновления. Если бы не дыра, так и сидел бы на 1.3.3., ибо после обновления через админку не работают некоторые нужные функции, как я уже писал выше. Спасибо за ответ.
Комментарий отредактирован 2017-09-07 16:28:01 пользователем yawakkb
avatar
То что не видно чанков снипетов надо еще раз обновить и будет работать :)
avatar
Подскажите, так как же правильно решить эту проблему. Так же обновился до 3.6 и появилась проблема с чанками и снипетами. Скачал последнюю версию, закинул папку manager на хостинг, но ничего не изменилось. Может есть какая-то хитрость?
avatar
Обновился на парочке сайтов — везде периодически вижу «Что-то пошло не так» в модальном окне при редактировании ресурсов. В событиях пусто.
Комментарий отредактирован 2017-09-07 18:22:57 пользователем Wooof
  • Wooof
  • +1
avatar
Есть такая штука и у меня. Появилась именно после обновления.
В событиях пусто, в логах тоже ошибок никаких.

Откуда лезет и что не нравится пока не разбирался — времени тупо не хватает. Все по командировкам мотаюсь. Если Дмитрий к тому времени не подскажет откуда, то через недельку в отпуск — тогда плотно займусь.
Комментарий отредактирован 2017-09-08 20:57:12 пользователем xakepShilo
avatar
Кстати, окно появляется на ровном месте (не обязательно при редактировании ресурса).
avatar
У меня такого не было. Но при редактировании постоянно. Но коли так, то джава-скрипт подглючивает где-то.
avatar
Снес EvoModal — перестало выскакивать
avatar
+1. Окошко появляется, когда ходишь по Элементам, после открытия консоли F12. Когда редактируешь и сохраняешь ресурсы не появляется. После его появления в консоли появляются ошибки… Как починить-то?
Комментарий отредактирован 2017-09-13 10:01:07 пользователем googa
avatar
Выключить EvoModal и EvoKeybinds (я оба убрал)
avatar
Большое спасибо. Мне помог ваш опыт)
avatar
Еще алерт выпадает при попытке выделить содержимое, напирмер, чанка, и унести мышь за пределы этого текстового поля.
avatar
Перехватил целую серию POST-запросов к index-ajax.php (который подменил на свою «заглушку»), кому интересно, что туда пихают — вот файлик, сложил в него содержимое этих самых запросов, там очень много интересных включений eval :).
yadi.sk/d/txXQFR0M3MhAkq
(пароль к архиву — 111).

Также обнаружил целую серию POST-запросов с успешным кодом завершения (200) к следующим php-файлам.
Признаков взлома на сайте пока не наблюдаю, но сам факт таких запросов меня несколько беспокоит:

66.162.164.38 — - [07/Sep/2017:03:23:44 +0300] «POST /assets/snippets/wayfinder/configs/cssplay-basicdropdown.config.php HTTP/1.1» 200

173.201.196.144 — - [07/Sep/2017:03:23:49 +0300] «POST /manager/processors/save_tmplvars.processor.php HTTP/1.1» 200

Было еще куча POST-запросам к несуществующим php-файлам с нечитаемыми названиями.

Может быть, эта информация для кого-то будет полезной.
avatar
Попробую в эти два файла тоже вставить в начало логирование POST-данных в файлик, как это я сделал с index-ajax.php, возможно, стукнутся еще…
avatar
Перехватил. Пихают eval в нейик параметр «q», но в этом файле такой вроде не обрабатывается. Скорее всего, по инерции тыркаются к следам от предыдущего взлома.
avatar
После обновления отвалился метод DBAPI
$modx->db->select();
avatar
Можно пример что работало и с какой ошибкой отвалилось?
просто это один из основных методов в админке в том числе поэтому не думаю что отвалился именно этот метод может что то рядом
avatar
Сорри, мой косяк, все работает.
avatar
Не уверен, что ошибка, но вот эта строчка в коде вызвала некое подозрение.
Дмитрий, можете глянуть?

github.com/evolution-cms/evolution/commit/6061996046a2eee1aa1fe3e2a7a285e9c9230a1d#commitcomment-24273327

(строка 196)
avatar
Не знаю, как эта штука называется… одно время Дмитрий выкладывал видео, где он создает чанки прямо из режима редактирования шаблона — выделяет кусок кода, тыкает в него, появляется всплывающее окошечко с предложением создать чанк.
Так вот у меня это окошечко появляется, но ссылки создания чанка в нем не работают.
avatar
Первый раз обновился до новой версии EVO 1.3.
Фантастическая скорость работы админки!
avatar
Отвалилось условие вида 

<code><@IF:[!$_GET['path'];!]>
do something
<@ENDIF>
</code>

[!$_GET['.....'];!] не пустой. А условие не работает
Комментарий отредактирован 2017-09-15 10:43:02 пользователем alexbeep
avatar
Одно лечим — второе калечим. Перестал работать PHx для условий с версии 1.3 — перелопатил кучу кода на встроенные модификаторы и они теперь рандомно отвалиливаются в 1.3.6
avatar
Я еще с Версии 1.0.8 не рекомендую юзать PHx а за ним и модификаторы проще снипет IF ))

по части Модификаторов и phx пишите на Github Яме. Это он встроил это в ядро, поэтому ему и разбираться почему они не работают. Я предпочитаю обходиться без них поэтому все проекты которые делаю работают стабильно)) А если еще и не юзать Дитто то вообще мега стабильная система с версии 1.3.0 только досадный баг с безопастностью :(
avatar
IF — не вариант.
Нужны встроенные фильтры в ядре, которые работают везде. Тем более IF не дает функционала изменения или обработки значения…
Сейчас по факту то, что было переписано с PHx на 1.3.3 на встроенные — отвалилось пачками, и это уже немного начало напрягать
avatar
Нафиг Ditto, у меня он еще с прошлого раза не заработал на всех обоих сайтах, где он еще был :)
avatar
А что вы используете вместо Ditto?
avatar
DocLister )
docs.evo.im/extras/doclister.html
avatar
Здесь чего-то не работает TransAlias (не создаются псевдонимы), а также ManagerManager (со стандартным чанком mm_rules в документах нет вкладки SEO). У кого-нибудь ещё наблюдается такое дело?
avatar
У меня при обновлении с 1.2.8 до 1.3.6 слетели настройки TV параметры связанные с SEO (desc, keyw, noIndex и так далее) со всех шаблонов кроме HOME. Может тоже у Вас такое-же
avatar
Да нет, с этим порядок
avatar
TransAlias починился: случайным образом поменял пару настроек в плагине, сохранил, потом вернул обратно, сохранил. И почему-то стало работать как надо.
avatar
Как можно хотя бы временно отключить ВОТ ЭТО?

Достало! Происходит при выделении текста любого элемента с передвижением мыши за пределы текстового поля
avatar
не в тему конечно, но «isNot('')» можно заменить на «isntempty» или «isnotempty».
avatar
вообще переделал на IF потому что встроенные условия опять отвалилсь
avatar
phx включен? автоматом вырубаются при включении phx
avatar
C 1.3.3 переписал все на встроенные условия, потому что PHx перестал работать. в 1.3.6 испортились встроенные условия, Yama чего-то там починил по моим issues вроде как, но это бесит
avatar
Ну дык я за то что б удалить это нафиг :) кому надо ставили себе phx и было ок. А сейчас только Яме писать ибо я туда сознательно не лезу :)
avatar
Бог с ними с условиями, хотя я и за то, чтобы вертеть плейсхолдеры как в Revolution из коробки, с алертом-то чего делать ?)
avatar
Обновил modx evo 1.2.8 до modx evo 1.3.6 (брал с github). Вопрос — как установить старую тему админки? В конфигурации можно выбрать только тему DEFAULT. В модуле EXTRAS не нашел как установить старую тему. Или все в новых версиях старая тема больше не живет?
avatar
там вроде был переписан код админки, и выпилен мутулс на котором были все старые темы.
avatar
Старые темы к сожалению с 1.3 ветки не работают там действительно много всего переписано + еще не все переписали и только когда закончим будет смысл делать другие темы. Так как 1 тему поддерживать проще чем 2
avatar
Ребят, да не надо темы. Пусть устаканится то, что есть, а потом уже эстетика :) хотя лично мне и дефолтная новая тема вполне себе юзабельна и эстетична.
avatar
Всем добрый день!

У нас проблема с сайтом, который мы обновили до 1.3.6 и накатили туда же свежий шопкипер (тоже, кстати, 1.3.6^_^).

Отвалились все TVшки на страницах товаров, который ранее выводились через phx и shk_widget. Если просто выводить твшку, то без shk_widget, то все нормально (в том плане, что значения твшки выводятся разделенным списком таким слитным с разделителем в виде символа "|"). А через shk_widget не выводятся вообще.

Уважаемые коллеги, подскажите, пожалуйста, в какую сторону копать, изо всех сил стараемся удержаться на evo)) движок менять не хотим!

В логах есть события с этими твшками, но как-то непонятно.

С уважением,

helloworld
Комментарий отредактирован 2017-09-22 12:40:43 пользователем HelloWorld
avatar
вызываем shk widget вот так

<div class="first_col oneRow"></div>
<div class="second_col">[*TVautomatic:shk_widget=`checkbox:TVautomatic:wraptag:desc_page`*]</div>
<div class="clear"> </div>


а в логах вот что видим:

10 [14:31:32] MODX Chunk: shk_widget TVautomatic
11 [14:31:32]   |--- Input = '<div class="first_col oneRow"></div>
<div class="second_col"></div>
<div class="clear"> </div>'
12 [14:31:32] MODX Chunk: shk_widget TVkalitka
13 [14:31:32]   |--- Input = '<div class="first_col oneRow"></div>
<div class="second_col"></div>
<div class="clear"> </div>'
14 [14:31:32] MODX Chunk: shk_widget TVinsideOrOutside
15 [14:31:32]   |--- Input = '<div class="first_col twoRow"><p>Направление открывания:</p></div>
<div class="second_col"></div>
<div class="clear"> </div>'
avatar
починили! modx.im/blog/questions/5423.html
avatar
Взял сегодня modx evo develop с github и не устанавливается, выскакивает страница со сломанной кодировкой. В manager — Fatal error: Can't use function return value in write context in /var/www/solo-line/data/www/club-aquaterra.ru/manager/includes/document.parser.class.inc.php on line 1681
Отбой windows виновата, при переупаковке архива zip, решила что некоторые каталоги не надо упаковывать.
Комментарий отредактирован 2017-10-10 11:22:21 пользователем Redduck
avatar
В девелоп сейчас есть баги как раз собираюсь править :)
avatar
Скачал с github. Делаю новую установку на кириллическом домене.рф. папка для установки и БД до установки были пустыми. В программе установки изменяю значение префикса таблиц по умолчанию с evo_ на ev_. Установщик отчитывается — установка прошла успешно. Но по адресу получаю ошибку Table ...ev_system_settings' doesn't exist. Захожу в phpMyAdmin и вижу что таблицы создались с префиксом modx_! Вот это неожиданно :)
avatar
А можно вопрос — присланные pull requests сейчас не применяют по каким-то организационным соображениям, или они признаны неверными (но тогда — почему не отменены)? А то не понятно, правильно ли их сделали, или может не туда…
avatar
Помогите, пожалуйста. Обновлялся с 1.0.12 до evo 1.3.6, после обновления совершенно не видно левое меню с деревом документов в админке, крутится иконка-шестеренка и пишет «Сервер недоступен, проверьте подключение по интернету». Все остальное работает, редактирование элементов и т.п.
avatar
По симптомам похоже на банальный кеш браузера.
Ну и через базу можно отключить все плагины и посмотреть
avatar
Дело не в кеше, чистил его. Смотрел в 2-х браузерах, в режиме инкогнито… Как отключить плагины в базе не знаю, но если подскажете попробую.
avatar
поставить там в поле disabled 1
и после очистить кеш
avatar
скиньте список плагинов скажу какие отключить
avatar
Отключил все плагины. Почистил кэш за все время, результат тот же...(
avatar
Скиньте в личку доступы гляну
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.