Внимание, серьезнейшая уязвимость во всех версиях Revolution

Ну что ребята, дождались. Евгений Борисов откапал 2 просто чудовищных дыры безопасности в MODX Revolution.
Подвержены все сайты на Revo.

Первая: функция eval() в фильтре math. Позволяет вызывать произвольный php код. Багрепорт. Модыксеры сказали, что это не ошибка, мол так и надо. Хотя, на мой взгляд, там где есть eval() — всегда есть потенциальная уязвимость.

Тогда Женя нарыл вторую ошибку, в функции очистки тегов $modx->stripTags() — багрепорт.
Смысл в том, что движок парсит теги на определенную глубину, а потом просто отдает, что осталось. И ему можно подсунуть что угодно. Например:

[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[[]]]]]]]]]]]]]]]]]]]]*id]]

Если скрестить эти 2 ошибки, то можно вломать практически любой сайт на MODX Revolution.

При более подробных раскопках мы выяснили, что виновата даже не функция, а регулярное выражение, которое чистит строки от тегов MODX (232 строка в классе):

@\[\[(.[^\[\[]*?)\]\]@si

Нужно заменить его на любое другое, более надежное. Например:

@\[\[(.*?)\]\]@si

Через эту регулярку проходят все $_GET запросы, ее же использует $modx->stripTags(), которая обеззараживает данные в очень многих расширениях. Поэтому вам нужно срочно пролечить свой modx.class.php, пока авторы MODX делают вид, будто ничего не происходит.

Вот консольная команда, для GNU/Linux серверов:

find -type f -name modx.class.php -exec sed -i 's#\[^\\\[\\\[]##g' {} \;

Заходим в директорию, где у вас лежат сайты и вызываем ее от суперюзера. Она найдет все modx.class.php и заменит выражение на более простое и надежное.

Вы делаете это на свой страх и риск и я не несу никакой ответственности, если у вас что-то сломается.

Здесь было видео с демонстрацией взлома сайтов при помощи этих уязвимостей. Команда MODX попросили удалить его — смотри update внизу

Выражаю огромную благодарность Евгению Борисову за нахождение этой баги. Надеюсь, ее быстро прикроют.

Кстати

Написал полезный плагин для очистки системных плейсхолдеров, которые вам не нужны, а злоумышленнику — очень даже:

if ($modx->event->name == 'OnLoadWebDocument') {
    $arr = array('+connections0dsn','+connections0username','+connections0password','+dsn');
    foreach ($arr as $v) {
        unset($modx->placeholders[$v]);
    }
}

Можно посмотреть, что еще опасного выводится у вас на сайте, просто вызвав в любом сниппете

print_r($modx->placeholders);

Все что вам не нужно, но может быть использовано злоумышленником — засовывайте в плагин, не помешает.

Обновление от 12.11.2012

Оказывается, такие баги нужно постить не на публичный трекер, а сразу на почту support@modx.com или security@modx.com. Кто ж знал?
А то, что на трекере баг признали «не ошибкой» — ошибка. Поэтому, видео попросили удалить, пока команда с нашей помощью активно разбирается с проблемой.
С нашей стороны — Евгений Борисов, Валентин Расулов и я. С их — Mark Hamstra и некая MODX core team.

Ошибка подтверждена, скоро будет официальный фикс.

Обновление от 13.11.2012

Смотрим историю изменений.

[#9080] В modX::$sanitizePatterns теперь сначала удаляются теги, потом все лишние открывающие и закрывающие скобки.
[#9080] В modX::stripTags() лимит соседних скобок стал 99, вместо 10
- modX::sanitizeRequest прогоняет массивы значений из $_GET
- Системный параметр allow_tags_in_post установлен в false. По умолчанию все теги MODX будут вычищены из $_POST!
[#9069] Долбанный фильтр math с eval() удален.

'tags'      => '@[\[|\]]@si',