Недавно наш партнер ASAP Lab провел аудит безопасности и обнаружил уязвимость в наших продуктам. Уязвимость затрагивает все версии, начиная с 4.6.1 и позволяет получить несанкционированный доступ к серверу любому, у кого есть доступ к панели администратора или продавца, а также привилегия редактирования блоков.
У нас есть правило предоставлять решение таких проблем как можно скорее. Пока мы не встречали случаев, чтобы кто-то воспользовался этой уязвимостью. И хотя наш партнер является третьей стороной, их сотрудники очень серьезно относятся к безопасности и конфиденциальности — это всё равно, что мы обнаружили проблему собственными силами.
Вот, что нужно сделать, чтобы исправить все проблемы:
Если вы используете CS-Cart или Multi-Vendor 4.15.1, то через Центр обновлений, обновитесь до 4.15.1.SP4. Он должен быть доступен в вашем Центре обновлений. В CS-Cart пакеты обновлений с SP устанавливаются быстро. Версия 4.15.1.SP3 включает исправление безопасности, а версия 4.15.1.SP4 делает это исправление совместимым со сторонними модулями и темами.
Если вы не можете обновиться до 4.15.1.SP4, вы все равно можете решить проблему в своей версии.
Найдите модуль «Исправления безопасности для версий 4.6.1 - 4.15.x» в папке “Обновления” в разделе “Файлы” в вашей учетной записи Help Desk. Скачайте его и установите модуль из архива. Этот модуль убирает уязвимость в старых версиях CS-Cart. Модуль выключится сам после того, как вы обновитесь до версии 4.15.2.
Ранее на этой неделе мы сообщили об этой уязвимости в почтовой рассылке и выпустили 4.15.1 SP3. В день выпуска релиза мы узнали о том, что исправление безопасности несовместимо со сторонними модулями и темами. Поэтому до решения проблемы с совместимостью мы временно прекратили раздачу апгрейдов с SP3.
Чтобы сделать решение совместимым со сторонними модулями и темами, мы выпустили 4.15.1 SP4.
Если вы успели обновиться до 4.15.1 SP3 (или вам пришлось откатить обновление), выполните обновление до SP3, а затем сразу до SP4. Так магазин будет защищённым от уязвимостей и будет работать со сторонними модулями и темами.
Если вы уже загрузили модуль “Исправления безопасности для версий 4.6.1 - 4.15.x”, повторите те же действия еще раз:
Найдите модуль «Исправления безопасности для версий 4.6.1 - 4.15.x» в папке “Обновления” в разделе “Файлы” в вашей учетной записи HelpDesk. Скачайте его и установите модуль из архива. Этот модуль убирает уязвимость в старых версиях CS-Cart и не ломает совместимость с модулями и темами.
Предыдущий модуль удалять не обязательно, т.к. обновление перезапишет старую версию.
Просим прощения за неудобства. Мы уже приняли меры, чтобы в будущем исправления безопасности не влияли на сторонние модули и темы.
А еще, чтобы поднять безопасность проектов, удалите, пожалуйста всякие adminer.php, error.log и подобные файлы из корней ваших магазинов. Поподробнее почитать можно тут https://wiki.cloud.simtechdev.com/user-guide/more-secure/ (соррян что на английском, скоро напишу статью об этом и на русском).
Спасибо, что предупредили. Мы перепроверили: обновления до SP3 и 4 доступны без ограничений для всех версий, в том числе для бесплатных. Некоторые пользователи бесплатной версии уже обновились.
Можете посмотреть, нет ли на главной странице админки вот такой плашки? Если есть, то нужно зарегистрироваться в Help Desk, и тогда обновления должны появиться.
Планировали на сентябрь, но не успели. В основном как раз из-за этой уязвимости, так как у неё приоритет был максимальный. Пока релиз 4.15.2 (с Яндекс Картами для Vendor locations) сместился на первую половину октября. Обещать, что дата не сместится чуть дальше, я пока не могу. Но Яндекс.Карты в 4.15.2 точно войдут.
P.S. Цель тут в том, чтобы в 4.15.2 по-максимуму добавать всё нужное перед тем, как выпускать 4.16.1. А 4.16.1 мы точно выпустим до конца года.
Обновления через Центр обновлений всегда выполняются последовательно. То есть, вы с SP2 обновляетесь до SP3, а потом c SP3 до SP4. Тогда никаких проблем быть не должно (те, что мы нашли в SP3 и модуле, мы исправили в SP4).
Если вы хотите вместо SP3 и 4 установить модуль, то это тоже можно сделать. Но если есть возможность (это точно для всех, кто на версии 4.15.1 и позднее), лучше ставить SP.
Большое обновление CS-Cart уже здесь
Попробуйте новую панель администратора с темной темой