Почему виджеты пропадают и как их показать после установки заплатки SUPEE-6788 или свежих версий Magento 1.9.x?

[16 июля 2019 г.]    Российская сборка Magento 2.52.2
Magento 2: модули и услуги
magereport.com: составление перечня необходимых для установки заплаток SUPEE
#1 Дмитрий Федюк
  • Администратор
  • Иконка
  • Группа: Администратор
  • Сообщений: 8995
  • Регистрация: 20.02.2010

25.02.2016 22:27

Без заплатки SUPEE-6788 Magento 1.x подвержена в числе прочих уязвимости APPSEC-1057, при которой злоумышленник может взломать интернет-магазин построением специального виджета: «template processing method allows access to private information».

Заплатка SUPEE-6788 уже включена в версии Magento Community Edition 1.9.2.2 и более свежие (1.9.2.3, 1.9.2.4), поэтому данная статья касается не только установивших заплатку SUPEE-6788, но и использующих перечисленные версии Magento 1.x.

Для устранения уязвимости APPSEC-1057 Magento 1.x теперь по умолчанию отказывается отображать в виджетах нестандартные блоки и переменные.

Что такое блок в виджете?
Пример: 
{{block type=rss/order_new}}

Что такое переменная в виджете?
Пример: 
{{config path=”web/unsecure/base_url”}}

Администратор магазина теперь должен явно разрешать испрользование конкретной переменной или конкретного блока в виджетах.
Это делается в административных разделах
«Система» → «Администраторы» →
  • «Блоки, разрешённые в виджетах»
  • «Переменные, разрешённые в виджетах»

Прикрепленное изображение: magento2-10.png

Прикрепленное изображение: magento2-11.png

Прикрепленное изображение: magento2-12.png

Прикрепленное изображение: magento2-13.png

Поделиться темой: