Евгений Борисов

Настоятельно рекомендую проверить все сайты на MODX Evolution и Evolution CMS на которых используется AjaxSearch и обновить его!

В версии 1.11 и ниже есть критические уязвимости которые позволяют взломать злоумышленникам сайт.

Исправленную версию снипета AjaxSearch можно скачать тут:
github.com/extras-evolution/ajaxSearch/releases/tag/1.12.1 или установить через модуль Extras.

Это вторая часть доклада с конференции MODX Meetup Moscow. С первой частью про обход фильтрации MODX тегов можете ознакомиться тут.

Это первая часть доклада с конференции MODX Meetup Moscow. Информацию решил разбить на 2 статьи посвященных разным векторам атак. Полная запись доклада доступна в ВК, а на ютубе запись моего экрана. Ну и естественно слайды.

Для тех, кто не в теме, Fred это визуальный редактор от MODX LLC (название компании, не путать с MODX CMS). На официальном сайте MODX есть даже новость про выпуск этого редактора (перевод)

История SQL-injection в MODX Revolution начинается с того, что любой багрепорт изначально воспринимается как «ожидаемое поведение».
Так было в декабре 2013 года с подготовкой запроса через метод toSQL

Собственно сабж. Требуется напарник для совместной разработки проектов.