Ошибки в логе от MiniShop2 после обновления до последней версии MODX 2.6.5
Добрый день. Вопрос к знатокам минишопа.
После найденных уязвимостей в MODX и обновления до последней версии в логах появляются две такие ошибки:
Появляются они, при попытке в галерее минишопа изменить добавленное изображение, при такой попытке отправляется запрос такого вида:
Вот и возник вопрос к знатокам — как можно пофиксить?
Безопасно ли добавить эти 2 параметра в разрешенные?
После найденных уязвимостей в MODX и обновления до последней версии в логах появляются две такие ошибки:
[2018-08-14 13:48:54] (WARN @ ***/public_html/core/model/phpthumb/modphpthumb.class.php : 89) Detected attempt of using private parameter `wctx` (for internal usage) of phpThumb that not allowed and insecure
[2018-08-14 13:48:54] (WARN @ ***/public_html/core/model/phpthumb/modphpthumb.class.php : 89) Detected attempt of using private parameter `source` (for internal usage) of phpThumb that not allowed and insecure
Появляются они, при попытке в галерее минишопа изменить добавленное изображение, при такой попытке отправляется запрос такого вида:
***/connectors/system/phpthumb.php?src=/assets/images/products/685/image.jpg&w=333&h=198&f=jpg&q=90&zc=0&far=1&HTTP_MODAUTH=***&wctx=mgr&source=2
В последнем обновлении, чтобы обезопасить phpthumb был добавлена проверка на передаваемые параметры:// Only public parameters of phpThumb should be allowed to pass from user input.
// List properties between START PARAMETERS and START PARAMETERS in src/core/model/phpthumb/phpthumb.class.php
$allowed = array(
'src', 'new', 'w', 'h', 'wp', 'hp', 'wl', 'hl', 'ws', 'hs',
'f', 'q', 'sx', 'sy', 'sw', 'sh', 'zc', 'bc', 'bg', 'fltr',
'goto', 'err', 'xto', 'ra', 'ar', 'aoe', 'far', 'iar', 'maxb', 'down',
'md5s', 'sfn', 'dpi', 'sia', 'phpThumbDebug'
);
И так как тут нет в разрешенных wctx и source, то сыпятся ошибки.Вот и возник вопрос к знатокам — как можно пофиксить?
Безопасно ли добавить эти 2 параметра в разрешенные?
Комментарии: 1
Ни у кого никаких идей?
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.