Evolution CMS 1.3.6
Новая версия обновляться обязательно, так как закрыта проблема с безопастностью!!!
github.com/evolution-cms/evolution/releases/tag/1.3.6
Для 1.2.2 используем вот этот патч (так же доступен в extras):
github.com/extras-evolution/security-fix/tree/v1.2.2
Так же если у вас версия 1.3+ но до этого были более ранние то удалите старую тему:
manager/media/style/MODxRE2_DropdownMenu
В офф версии MODX EVO дыра только с версии 1.2.2
в моих кастомных сборках с версии 1.2.1 с появлением новой темы, но там проще или так же заменить файлик или лучше обновиться. так же Поможет решение просто удалить тему если не используете ее
github.com/evolution-cms/evolution/releases/tag/1.3.6
Для 1.2.2 используем вот этот патч (так же доступен в extras):
github.com/extras-evolution/security-fix/tree/v1.2.2
Так же если у вас версия 1.3+ но до этого были более ранние то удалите старую тему:
manager/media/style/MODxRE2_DropdownMenu
В офф версии MODX EVO дыра только с версии 1.2.2
в моих кастомных сборках с версии 1.2.1 с появлением новой темы, но там проще или так же заменить файлик или лучше обновиться. так же Поможет решение просто удалить тему если не используете ее
71 комментарий
или обновить файлик ajax.php в теме
1) удалить папку manager/media/style/MODxRE2_DropdownMenu
2) обновиться до 1.3.6.
Так?
Перестали выводится чанки и сниппеты списком, хотя в выпадающем меню они отображаются, и открываются для редактирования. ТВ, шаблоны и плагины видятся нормально. В табе Общий просмотр чанков и сниппетов также нет.
Сайт на локальном OpenServer 5.2.2, PHP 5.6, MySQL 5.6
Ставить систему заново и все чанки-сниппеты-и тд по новой прописывать перспектива не впечатляет. Пришлось откатить назад.
Подскажите, как убрать дырку без полного обновления версии ядра?
Папки manager/media/style/MODxRE2_DropdownMenu нет, есть только /default, что и прописано в конфигурации. В теме Default файл ajax.php присутствует.
Не?
Я специально не выкладывал патч ибо 1.3.6 и есть патч к ветке 1.3.*
В событиях пусто, в логах тоже ошибок никаких.
Откуда лезет и что не нравится пока не разбирался — времени тупо не хватает. Все по командировкам мотаюсь. Если Дмитрий к тому времени не подскажет откуда, то через недельку в отпуск — тогда плотно займусь.
yadi.sk/d/txXQFR0M3MhAkq
(пароль к архиву — 111).
Также обнаружил целую серию POST-запросов с успешным кодом завершения (200) к следующим php-файлам.
Признаков взлома на сайте пока не наблюдаю, но сам факт таких запросов меня несколько беспокоит:
66.162.164.38 — - [07/Sep/2017:03:23:44 +0300] «POST /assets/snippets/wayfinder/configs/cssplay-basicdropdown.config.php HTTP/1.1» 200
173.201.196.144 — - [07/Sep/2017:03:23:49 +0300] «POST /manager/processors/save_tmplvars.processor.php HTTP/1.1» 200
Было еще куча POST-запросам к несуществующим php-файлам с нечитаемыми названиями.
Может быть, эта информация для кого-то будет полезной.
просто это один из основных методов в админке в том числе поэтому не думаю что отвалился именно этот метод может что то рядом
Дмитрий, можете глянуть?
github.com/evolution-cms/evolution/commit/6061996046a2eee1aa1fe3e2a7a285e9c9230a1d#commitcomment-24273327
(строка 196)
Так вот у меня это окошечко появляется, но ссылки создания чанка в нем не работают.
Фантастическая скорость работы админки!
[!$_GET['.....'];!] не пустой. А условие не работает
по части Модификаторов и phx пишите на Github Яме. Это он встроил это в ядро, поэтому ему и разбираться почему они не работают. Я предпочитаю обходиться без них поэтому все проекты которые делаю работают стабильно)) А если еще и не юзать Дитто то вообще мега стабильная система с версии 1.3.0 только досадный баг с безопастностью :(
Нужны встроенные фильтры в ядре, которые работают везде. Тем более IF не дает функционала изменения или обработки значения…
Сейчас по факту то, что было переписано с PHx на 1.3.3 на встроенные — отвалилось пачками, и это уже немного начало напрягать
docs.evo.im/extras/doclister.html
Достало! Происходит при выделении текста любого элемента с передвижением мыши за пределы текстового поля
У нас проблема с сайтом, который мы обновили до 1.3.6 и накатили туда же свежий шопкипер (тоже, кстати, 1.3.6^_^).
Отвалились все TVшки на страницах товаров, который ранее выводились через phx и shk_widget. Если просто выводить твшку, то без shk_widget, то все нормально (в том плане, что значения твшки выводятся разделенным списком таким слитным с разделителем в виде символа "|"). А через shk_widget не выводятся вообще.
Уважаемые коллеги, подскажите, пожалуйста, в какую сторону копать, изо всех сил стараемся удержаться на evo)) движок менять не хотим!
В логах есть события с этими твшками, но как-то непонятно.
С уважением,
helloworld
а в логах вот что видим:
Отбой windows виновата, при переупаковке архива zip, решила что некоторые каталоги не надо упаковывать.
Ну и через базу можно отключить все плагины и посмотреть
и после очистить кеш