Евгений Борисов

А теперь почитай что я писал тебе 2 года назад

Может для начала стоит ознакомиться CVE-2018-1000207 и CVE-2018-1000208? Ну или хотя бы по ссылкам походить?

В компоненте нужно либо работать через modPhpThumb. Либо внедрить аналогичные проверки

Ядро
До версии 2.5.1 эксплуатация возможна без авторизации через modPhpThumb
С версии 2.5.1 необходима авторизация в любом контексте для эксплуатации через modPhpThumb

Gallery
Возможна эксплуатация на любой версии ядра через phpThumb без аворизации. Фикса пока нет.

Канал @sitesecurity и @CliSecurityFeed.

Не проверял еще. Но сейчас бегло глянул код — уязвимость должна остаться, поскольку Gallery 1.7.0 работает напрямую с классом phpthumb. А правки в MODX затронули только modPhpThumb.

В Gallery действительно имеется возможность пробросить запрос в phpthumb. Но насколько я знаю, там необходимо знать абсолютный путь к папке assets (раскрытие путей в помощь), чтобы определить куда загрузился payload.

$inputSanitized = str_replace(array(':', '/'), '_', $path);
$cacheFilename = $inputSanitized;
$cacheFilename .= '.' . md5(serialize($query));
$cacheFilename .= '.' . $query['f'];
$cacheKey = '/assets/components/gallery/cache/' . $cacheFilename;

Угу

Как-то так youtu.be/yQF0qhARbSw

www.stopforumspam.com/

Если ты про AmoCRM, то их API здесь: developers.amocrm.ru/rest_api/

Этого достаточно. Компонент для MODX меня не интересует.

Есть API для интеграции в другие платформы?

Спасибо всем, кто откликнулся. Пока не актуально. Среди поступивших заявок я выбрал несколько помощников которых пригласил детальней пообщаться в вайбере/телеграмм. Некоторые уже приступили к работе.

Напишите, а там пообщаемся. Посмотрим на активные задачи и т.п.

Не нужно бояться — я не кусаюсь. Если по сабжу — хотелось бы, конечно, найти человека с которым мы смогли бы работать не 1 и не 2 проекта, а больше.

Брать человека в проекты на обучение это большой риск, т.к. потребуется много времени на разъяснения/проверку/исправления — тем более, что я еще готов за это платить. Поэтому очень надеюсь, что мои риски понимает и соискатель. А соответственно, желание вписаться в тему на пару недель меня не устраивает.

Более того, у многих из нас сейчас есть какие-то текущие проекты. Основная работа и т.д. — поэтому и не ставлю жестких рамок по объему задач/необходимому времени/оплате.
— Если есть основная работа — не вопрос. Совмещайте. И вполне вероятно, что сотрудничество со мной позволит вам вырасти до профессионально фрилансера.
— Если множество мелких заказчиков — не вопрос. Давайте я стану еще одним, если так удобнее это воспринимать.
— Если есть сомнения в стиле «вдруг не вывезу» — отбросьте их и пишите на почту. Там пообщаемся предметнее.

В противном же случае действительно, лучше не тратить ни своего, ни моего времени.

$query = $modx->newQuery(modResource::class)
    ->sortby('menuindex','ASC')
    ->sortBy('pagetitle', 'ASC');

$out = $modx->getCollection(modResource::class, $query);

$_REQUEST['action'] = '../../new/action';
$_REQUEST['action'] = '....//....//new/action';

Постараюсь больше Жени не касаться вообще никаким боком.

Как-то вообще не располагает, когда ты предлагаешь фиксы которые вообще не фиксы.
Постараюсь больше не реагировать на твои заскоки. Вводи и дальше людей в заблуждение.

Туда же: Evo, Revo

Давай для начала с ru сегментом разберемся)

Поднимем качество наших продуктов до должного уровня, а потом будем думать как изменить ситуацию глобально. Просто получится опть так: выпустили какой-то патч и все успокоились. А дырявые компоненты как были — так и останутся.

Если у зарубежного сегмента будет желание подключить проекты modmore.com, modxcloud.com и т.п. к нашему движению аудитов — милости просим на security@agel-nash.ru