В Cs-Cart Обнаружены Проблемы С Безопасностью. Примите Меры Для Защиты Магазина


#1

Здравствуйте! Мы провели аудит безопасности и обнаружили несколько проблем разной степени серьёзности, которые затрагивают все версии CS-Cart и Multi-Vendor 4.x.x, в том числе и самую свежую, 4.7.1. Поэтому мы сообщаем об этом всем владельцам магазинов, чтобы они могли принять меры. Одну из проблем обнаружил наш реселлер, а оставшиеся проблемы были найдены специалистами из команды разработки CS-Cart. Случаев использования этих уязвимостей мы не обнаружили.

Чтобы у вас было больше времени на то, чтобы защитить свой магазин, мы не разглашаем технические подробности. Достаточно сказать, что мы рекомендуем всем, кто использует версии начиная с 4.0.1 по 4.7.1 (в том числе 4.7.1 SP1) срочно принять одну из следующих мер:

Обновитесь до версии 4.7.1 SP2, которая уже доступна в Центре обновлений в панели администратора в вашем магазине. В эту версию включены исправления всех проблем с безопасностью, которые нам известны. Обратите внимание, что перед установкой 4.7.1 SP2 вам понадобится установить предыдущие обновления, если вы этого ещё не сделали. Иначе вы не увидите 4.7.1 SP2 в Центре обновлений.

Для тех, кто не может обновиться до последней версии, мы сделали бесплатный модуль, который также исправляет эти проблемы. Мы считаем, что установить модуль для владельца магазина куда удобнее, чем вручную менять строки кода в разных файлах:

  • Перед тем, как скачать модуль, вам потребуется войти в свою учётную запись в Help Desk. Если необходимо, воспользуйтесь ссылкой Забыли пароль? на странице входа, чтобы войти в учётную запись без пароля.
  • Когда вы войдёте в учётную запись, перейдите в раздел Файлы. Прокрутите страницу ниже, чтобы найти папку Updates, а затем нажмите на её название.
  • Найдите файл security_fixes_4xx_addon.zip и скачайте его с помощью иконки справа.
  • Архив с модулем скачается на ваш компьютер. Установите модуль из архива, как описано в документации.
После этого найденные проблемы с безопасностью в вашем магазине будет решены. Обратите внимание, что модуль не закрывает уязвимость, которую мы обнаружили в ноябре 2017 года. Если вы в своё время пропустили анонс этой уязвимости, рекомендуем вам также принять меры, которые описаны в анонсе.