Безопасность

На Хабре вчера появилась статья про то, как внедрив JS код на страницы сайта можно украсть данные пользователей (в том числе и банковские карты). Я пробежался по сайтам заказчиков, к которым на данный момент имею доступ и на 1 из 5 сайтов был обнаружен код сниффера ReactGet. Естественно, я удалил вредоносный код, о чём сообщил владельцу сайта.
В целях конфиденциальности, я не буду указывать адрес сайта, об этом меня попросил его владелец.

Да, хотя в статье нет ни слова о MODX, это не говорит о том, что он не подвержен заражению. К слову сказать, данный ИМ совсем недавно только обновили с версии 2.3 до 2.7, поэтому угроза заражения была достаточно велика.

Тем не менее, всем разработчикам предлагаю проверить свои сайты на подобную угрозу. Ну и пишите в комментах, удалось ли что-то обнаружить.

Перевод статьи

В настоящее время существует эксплойт для сайтов в которых осталась директория setup. Это может дать любому в интернете полный доступ к вашему сайту и возможно к вашему серверу с тривиальной настройкой. Этот каталог никогда не должен оставаться после того, как вы установили систему.

Настоятельно рекомендую проверить все сайты на MODX Evolution и Evolution CMS на которых используется AjaxSearch и обновить его!

В версии 1.11 и ниже есть критические уязвимости которые позволяют взломать злоумышленникам сайт.

Исправленную версию снипета AjaxSearch можно скачать тут:
github.com/extras-evolution/ajaxSearch/releases/tag/1.12.1 или установить через модуль Extras.

Это вторая часть доклада с конференции MODX Meetup Moscow. С первой частью про обход фильтрации MODX тегов можете ознакомиться тут.

Это первая часть доклада с конференции MODX Meetup Moscow. Информацию решил разбить на 2 статьи посвященных разным векторам атак. Полная запись доклада доступна в ВК, а на ютубе запись моего экрана. Ну и естественно слайды.

Для тех, кто не в теме, Fred это визуальный редактор от MODX LLC (название компании, не путать с MODX CMS). На официальном сайте MODX есть даже новость про выпуск этого редактора (перевод)

История SQL-injection в MODX Revolution начинается с того, что любой багрепорт изначально воспринимается как «ожидаемое поведение».
Так было в декабре 2013 года с подготовкой запроса через метод toSQL

Привет, друзья!

Как многие уже заметили, в MODX недавно обнаружили критическую уязвимость. Заключается она в том, что одним простым запросом можно залить произвольный файл на сайт, и выполнить его. Это может быть шел, вредоносный скрипт, что угодно.

Простота атаки и беспечность владельцев сайтов привели к тому, что я уже неделю разгребаю последствия этой атаки на modhost.pro. Итак, что нужно делать, чтобы вылечить свои сайты?

Не нашел здесь упоминания, тем временем позавчера появилась важная новость о найденных уязвимостях в версии 2.6.4 и необходимости скорейшего обновления

Вольный перевод, оригинал здесь.

Продукт: MODX Revolution
Уровень серьезности: критический
Версии: <= 2.6.4
Тип (ы) уязвимости: Удаленное выполнение / Удаление файлов / каталогов
Дата обнаружения: 11 июля 2018
Дата фиксации: 12 июля 2018

Если вы ещё не обновились до v2.5.7 — поторопитесь, в предыдущей версии присутствует критическая уязвимость, позволяющая провести SQL-инъекцию и получить доступ к аккаунту администратора через «resource/getNodes» и «system/contenttype/getlist» библиотеки xPDO.

Ниже полная выдержка пинтестера, обнаружившего уязвимость, с примером эксплуатации: