Заплатка SUPEE-6788 уже включена в версии Magento Community Edition 1.9.2.2 и более свежие (1.9.2.3, 1.9.2.4), поэтому данная статья касается не только установивших заплатку SUPEE-6788, но и использующих перечисленные версии Magento 1.x.
Для устранения уязвимости APPSEC-1057 Magento 1.x теперь по умолчанию отказывается отображать в виджетах нестандартные блоки и переменные.
Что такое блок в виджете?
Пример:
{{block type=rss/order_new}}
Что такое переменная в виджете?
Пример:
{{config path=”web/unsecure/base_url”}}
Администратор магазина теперь должен явно разрешать испрользование конкретной переменной или конкретного блока в виджетах.
Это делается в административных разделах
«Система» → «Администраторы» →
- «Блоки, разрешённые в виджетах»
- «Переменные, разрешённые в виджетах»
![Прикрепленное изображение: magento2-10.png](https://magento-forum.ru/uploads/monthly_02_2016/post-1-0-56118200-1456427250_thumb.png)
![Прикрепленное изображение: magento2-11.png](https://magento-forum.ru/uploads/monthly_02_2016/post-1-0-40937500-1456428011_thumb.png)
![Прикрепленное изображение: magento2-12.png](https://magento-forum.ru/uploads/monthly_02_2016/post-1-0-54584400-1456428005_thumb.png)
![Прикрепленное изображение: magento2-13.png](https://magento-forum.ru/uploads/monthly_02_2016/post-1-0-70168000-1456428231_thumb.png)