Обнаружена серьёзная уязвимость в CS-Cart

Ранее на этой неделе мы сделали рассылку о том, что была найдена уязвимость во всех версиях CS-Cart 4, включая 4.16.2. Она потенциально может позволить злоумышленникам загрузить на сервер PHP-файл и выполнить его. Детальнее не рассказываем, потому что известных нам случаев использования этой уязвимости пока не было.

Есть два способа закрыть уязвимость:

  • Если вы используете CS-Cart 4.16.2, просто обновите версию до 4.16.2 SP1. Она будет доступна в Центре обновлений.

  • Если нет возможности обновиться до версии 4.16.2 SP1, то уязвимость можно закрыть в старых версиях. Для этого найдите модуль “Security Fixes (August 2023) for 4.3.1 - 4.16.x” в папке “Updates” на странице “Файлы” в Help Desk. Скачайте его и установите модуль из архива.

Если у вас “CS-Cart для маркетплейсов”, то закрывать уязвимость вам нужно обязательно. В “CS-Cart для интернет-магазинов” проблема не так серьёзна; но вы всё равно можете последовать инструкции, и магазин станет немного безопаснее.

P.S. Если вы используете Multi-Vendor No-Code, то делать ничего не нужно: мы уже применили фикс.

5 лайков

То чувство когда уже обновил, и спустя 9 часов читаешь это :slightly_smiling_face:

пугающее заявление :thinking: :rofl:

1 лайк

@Tanya

Вообще считаю что в качестве безопасности не стоит писать об этом на форуме, т.к если кто-то и хочет навредить cs-cart они следят за форумом, лучше подобного рода проблемы касаемо безопасности писать в HD либо делать на почту рассылки куда привязана лицензия.

1 лайк

тем более в общей теме, для этого как бы песочница есть. девушка видать свежая “Регистрация 7 апр.” необученная

1 лайк

Рассылка владельцам лицензий ушла раньше, чем публичный анонс.


Да, есть такое. На самом деле, владельцам “CS-Cart для интернет-магазинов” беспокоиться на счёт этой проблемы не нужно; на маркетплейсах она серьёзнее. Но накатить модуль можно, и он действительно улучшит безопасность.


В “Песочнице” могут не увидеть те, кто сомневается, а официальная ли была рассылка (опасения, кстати, вполне обоснованные).

В общем, у каждого способа есть плюсы и минусы. Лучший способ — быть на последней версии CS-Cart, и тогда в таких случаях останется только SP устанавливать, как только они приходят :slight_smile:

Пойду накажу директора )))

Мне рассылка не приходила.

Мне тоже, на почте только переписка с сотрудниками ТП cs-cart.

@ikoshkin предлагаю делать рассылку в hd, потому что когда вы отвечаете на тикеты в адмнке, в разделе колокольчика (уведомлений) сразу видно что письмо от ТП, внутри админки безопасней оповещать и админы быстрее отреагируют.

После того как Павел “Морозов” занимался маркетингом в cs-cart по своим книгам топ продаж и тд, многие отписались от рассылки cs-cart, а так как видимо Павел не умеет настраивать листы рассылки люди автоматом отписались от всего, в итоге я от cs-cart уже давно ничего не получают, так что не приходят важные письма для владельцев лицензий, они попадают под правила, что я отписан и не уходят у вас.

2 лайка

Поэтому будет круто если в админке будут высвечиваться уведомления, тогда точно не пропустим.

Спасибо, предложения по способам информирования учтём. Идеальных способов нет, в каждом есть ограничения и нюансы. Рассылку выбрали потому, что с ней взаимодействий больше; например, при тех же опросах мы получали больше обратной связи через рассылку, а не через анонсы в админке.

Отписка от рассылок действительно работает глобально, для всех списков. Означает “Я больше не хочу получать никакие письма от CS-Cart”. Такой подход помогает разом отписаться от всего; а также гарантирует, что новые письма от нас не придут, и мы случайно не нарушим законодательство.

P.S. Так как тема уходит в оффтоп, я её закрою. Вся нужная информация есть в первом посте.

1 лайк