Здравствуйте!
Мы обнаружили серьёзную уязвимость, которая затрагивает все версии CS-Cart и Multi-Vendor 4.x.x, в том числе и самую свежую, 4.6.3. Поэтому мы сообщаем о проблеме всем владельцам магазинов, чтобы они могли принять меры. Уязвимость позволяет злоумышленнику получить доступ в панель администратора без авторизации, но только если злоумышленник знает URL скрипта, через который осуществляется вход.
Проблему нашли специалисты из команды разработки CS-Cart, и случаев использования этой уязвимости мы пока не обнаружили. Чтобы вы успели принять меры, мы пока не разглашаем все подробности об этой уязвимости. Хотя проблема может затронуть не все интернет-магазины на версии 4.x.x (всё зависит от настроек сервера), мы крайне не рекомендуем её игнорировать. Пожалуйста, примите одну из следующих мер как можно скорее:
-
Если вы используете CS-Cart или Multi-Vendor 4.6.3, установите Service Pack 1, который уже доступен в Центре обновлений.
-
Если вы используете более старую версию CS-Cart или Multi-Vendor 4.x.x, воспользуйтесь инструкциями ниже
-
В директории с установленным CS-Cart или Multi-Vendor найдите в папке app/Tygh файл Bootstrap.php
-
Найдите в этом файле следующую строку:
if (empty($server['REQUEST_METHOD'])) {
-
Замените её на следующую строку и сохраните изменения:
if (PHP_SAPI === 'cli') {
-
После этого уязвимость в вашем магазине будет закрыта.