Критическая уязвимость в CS-Cart и Multi-Vendor 4.6.1 - 4.15.1


#1

Всем привет!

Недавно наш партнер ASAP Lab провел аудит безопасности и обнаружил уязвимость в наших продуктам. Уязвимость затрагивает все версии, начиная с 4.6.1 и позволяет получить несанкционированный доступ к серверу любому, у кого есть доступ к панели администратора или продавца, а также привилегия редактирования блоков.

У нас есть правило предоставлять решение таких проблем как можно скорее. Пока мы не встречали случаев, чтобы кто-то воспользовался этой уязвимостью. И хотя наш партнер является третьей стороной, их сотрудники очень серьезно относятся к безопасности и конфиденциальности — это всё равно, что мы обнаружили проблему собственными силами.

Вот, что нужно сделать, чтобы исправить все проблемы:

  • Если вы используете CS-Cart или Multi-Vendor 4.15.1, то через Центр обновлений, обновитесь до 4.15.1.SP4. Он должен быть доступен в вашем Центре обновлений. В CS-Cart пакеты обновлений с SP устанавливаются быстро. Версия 4.15.1.SP3 включает исправление безопасности, а версия 4.15.1.SP4 делает это исправление совместимым со сторонними модулями и темами.

  • Если вы не можете обновиться до 4.15.1.SP4, вы все равно можете решить проблему в своей версии.

    Найдите модуль «Исправления безопасности для версий 4.6.1 - 4.15.x» в папке “Обновления” в разделе “Файлы” в вашей учетной записи Help Desk. Скачайте его и установите модуль из архива. Этот модуль убирает уязвимость в старых версиях CS-Cart. Модуль выключится сам после того, как вы обновитесь до версии 4.15.2.

P.S. Компания ASAP Lab специализируются на поддержке серверов, вопросах производительности и безопасности. Они не только регулярно проверяют для нас код CS-Cart на наличие уязвимостей, но и могут проверить весь ваш проект, включая конфигурацию сервера, сторонние модули и пр.


Кто уже установил патч безопасности?
Не работает сохранение состояния фильтров
Пожелания по унификации интерфейса
#2

Ранее на этой неделе мы сообщили об этой уязвимости в почтовой рассылке и выпустили 4.15.1 SP3. В день выпуска релиза мы узнали о том, что исправление безопасности несовместимо со сторонними модулями и темами. Поэтому до решения проблемы с совместимостью мы временно прекратили раздачу апгрейдов с SP3.

Чтобы сделать решение совместимым со сторонними модулями и темами, мы выпустили 4.15.1 SP4.

  • Если вы успели обновиться до 4.15.1 SP3 (или вам пришлось откатить обновление), выполните обновление до SP3, а затем сразу до SP4. Так магазин будет защищённым от уязвимостей и будет работать со сторонними модулями и темами.

  • Если вы уже загрузили модуль “Исправления безопасности для версий 4.6.1 - 4.15.x”, повторите те же действия еще раз:

    Найдите модуль «Исправления безопасности для версий 4.6.1 - 4.15.x» в папке “Обновления” в разделе “Файлы” в вашей учетной записи HelpDesk. Скачайте его и установите модуль из архива. Этот модуль убирает уязвимость в старых версиях CS-Cart и не ломает совместимость с модулями и темами.

    Предыдущий модуль удалять не обязательно, т.к. обновление перезапишет старую версию.

Просим прощения за неудобства. Мы уже приняли меры, чтобы в будущем исправления безопасности не влияли на сторонние модули и темы.


#3

А еще, чтобы поднять безопасность проектов, удалите, пожалуйста всякие adminer.php, error.log и подобные файлы из корней ваших магазинов. Поподробнее почитать можно тут https://wiki.cloud.simtechdev.com/user-guide/more-secure/ (соррян что на английском, скоро напишу статью об этом и на русском).

Ну и если что, велкам к нам https://asaplab.io/ru/contact-us, мы найдем и поможем, в целом, проекты сделать безопаснее.


#4

2 сообщения перенесены в новую тему: Пожелания по улучшению чекаута


#5

К слову (фри версия), видимо вы забыли про нее

соседний проект на лицензии

59

я все понимаю (нет), но можно как-то релизы выдавать.


#6

Спасибо, что предупредили. Мы перепроверили: обновления до SP3 и 4 доступны без ограничений для всех версий, в том числе для бесплатных. Некоторые пользователи бесплатной версии уже обновились.

Можете посмотреть, нет ли на главной странице админки вот такой плашки? Если есть, то нужно зарегистрироваться в Help Desk, и тогда обновления должны появиться.


#7

А можно что-то узнать про 4.15.2? Ну или где яндекс карты будут?


#8

Планировали на сентябрь, но не успели. В основном как раз из-за этой уязвимости, так как у неё приоритет был максимальный. Пока релиз 4.15.2 (с Яндекс Картами для Vendor locations) сместился на первую половину октября. Обещать, что дата не сместится чуть дальше, я пока не могу. Но Яндекс.Карты в 4.15.2 точно войдут.

P.S. Цель тут в том, чтобы в 4.15.2 по-максимуму добавать всё нужное перед тем, как выпускать 4.16.1. А 4.16.1 мы точно выпустим до конца года.


#9

Стоит 4.15.1 SP2. Обязательно нужно ставить сначала SP3, а потом SP4, или можно сразу SP4?

А можно просто модуль «Исправления безопасности для версий 4.6.1 - 4.15.x» поставить и не морочить голову этими SP?


#10

Обновления через Центр обновлений всегда выполняются последовательно. То есть, вы с SP2 обновляетесь до SP3, а потом c SP3 до SP4. Тогда никаких проблем быть не должно (те, что мы нашли в SP3 и модуле, мы исправили в SP4).

Если вы хотите вместо SP3 и 4 установить модуль, то это тоже можно сделать. Но если есть возможность (это точно для всех, кто на версии 4.15.1 и позднее), лучше ставить SP.