Ранее на этой неделе мы сделали рассылку о том, что была найдена уязвимость во всех версиях CS-Cart 4, включая 4.16.2. Она потенциально может позволить злоумышленникам загрузить на сервер PHP-файл и выполнить его. Детальнее не рассказываем, потому что известных нам случаев использования этой уязвимости пока не было.
Есть два способа закрыть уязвимость:
Если вы используете CS-Cart 4.16.2, просто обновите версию до 4.16.2 SP1. Она будет доступна в Центре обновлений.
Если нет возможности обновиться до версии 4.16.2 SP1, то уязвимость можно закрыть в старых версиях. Для этого найдите модуль “Security Fixes (August 2023) for 4.3.1 - 4.16.x” в папке “Updates” на странице “Файлы” в Help Desk. Скачайте его и установите модуль из архива.
Если у вас “CS-Cart для маркетплейсов”, то закрывать уязвимость вам нужно обязательно. В “CS-Cart для интернет-магазинов” проблема не так серьёзна; но вы всё равно можете последовать инструкции, и магазин станет немного безопаснее.
P.S. Если вы используете Multi-Vendor No-Code, то делать ничего не нужно: мы уже применили фикс.
Вообще считаю что в качестве безопасности не стоит писать об этом на форуме, т.к если кто-то и хочет навредить cs-cart они следят за форумом, лучше подобного рода проблемы касаемо безопасности писать в HD либо делать на почту рассылки куда привязана лицензия.
Рассылка владельцам лицензий ушла раньше, чем публичный анонс.
Да, есть такое. На самом деле, владельцам “CS-Cart для интернет-магазинов” беспокоиться на счёт этой проблемы не нужно; на маркетплейсах она серьёзнее. Но накатить модуль можно, и он действительно улучшит безопасность.
В “Песочнице” могут не увидеть те, кто сомневается, а официальная ли была рассылка (опасения, кстати, вполне обоснованные).
В общем, у каждого способа есть плюсы и минусы. Лучший способ — быть на последней версии CS-Cart, и тогда в таких случаях останется только SP устанавливать, как только они приходят
Мне тоже, на почте только переписка с сотрудниками ТП cs-cart.
@ikoshkin предлагаю делать рассылку в hd, потому что когда вы отвечаете на тикеты в адмнке, в разделе колокольчика (уведомлений) сразу видно что письмо от ТП, внутри админки безопасней оповещать и админы быстрее отреагируют.
После того как Павел “Морозов” занимался маркетингом в cs-cart по своим книгам топ продаж и тд, многие отписались от рассылки cs-cart, а так как видимо Павел не умеет настраивать листы рассылки люди автоматом отписались от всего, в итоге я от cs-cart уже давно ничего не получают, так что не приходят важные письма для владельцев лицензий, они попадают под правила, что я отписан и не уходят у вас.
Спасибо, предложения по способам информирования учтём. Идеальных способов нет, в каждом есть ограничения и нюансы. Рассылку выбрали потому, что с ней взаимодействий больше; например, при тех же опросах мы получали больше обратной связи через рассылку, а не через анонсы в админке.
Отписка от рассылок действительно работает глобально, для всех списков. Означает “Я больше не хочу получать никакие письма от CS-Cart”. Такой подход помогает разом отписаться от всего; а также гарантирует, что новые письма от нас не придут, и мы случайно не нарушим законодательство.
P.S. Так как тема уходит в оффтоп, я её закрою. Вся нужная информация есть в первом посте.
