Василий Наумкин
С нами с 08 декабря 2012; Место в рейтинге пользователей: #14 часа назад
Спасибо!!! Скоро опробую, отпишусь о результатах!
Модификатор сортировки pdoResources по pagetitle 6
6 часов назад
Добрый день. Появилась новая ошибка: 27.11.2024 12:30:20 ERROR /www/site.ru/core/components/yasmartcaptcha/model/yasmartcaptcha.class.php 60
Reco...
YaSmartCaptcha - защитите ваши формы от спама умной капчей от Яндекс 6
8 часов назад
Извините, у вас сообщения закрыты. Я хотела спросить насчет компонента msExportUsersExcel. Может быть у вас есть аналогичный компонент для импорта пол...
Facade Laravel в Modx 2/3 23
8 часов назад
Андрей Степаненко.
Извините, у вас сообщения закрыты. Я хотела спросить насчет компонента msExportUsersExcel. Может быть у вас есть аналогичный компо...
Zoomx получить данные родителя на странице товара 7
Вчера в 17:14
В vesp долго переезжать. Нету модульности никакой и с авторизацией, в смысле с разграничением прав, там Василий особо не напрягался :-)
Плюсы и минусы Vue и gtsAPI 17
Вчера в 13:01
Забыл написать версия modx 3.0.5
И сама форма
<form data-si-form="FormSlider" data-si-preset="slider_form" data-si-event=&quo...
[SendIt 2.0.0] Пагинация и обновлённая загрузка файлов 20
Вчера в 09:34
В критерия должны передаваться параметры where это все что можно передать
т.е.
возможно только так
$criteria = array(
"article:LIKE =>...
Массовое удаление 7
25 ноября 2024, 22:34
Вдруг кому понадобится… Прописать TV параметр в источнике файлов для MIGX можно так (для примера TV `ln`):
[[!migxResourceMediaPath...
Источник файлов и migx 6
25 ноября 2024, 21:01
Привет
Подскажи, пжл как добавить поля из компонента msFieldsmanager?
Скрин
msPre - фильтры по опциям minishop2 11
Что именно ты делаешь, опубликовываешь или сохраняешь?
Ну и &showLog, вроде, тоже есть.
Хоть бы сообщество ломал, а не магазин, который приносит доход и тебе, в том числе.
Еще раз: на момент публикации моего комментария не было известно, что для эксплуатации уязвимости не нужен вход в админку.
Достаточно было дописать в заметке, что уязвимость можно эксплуатировать хоть откуда, и всё. Я не просил её доказывать, я не отмахивался от неё. Мы её и по почте обсудили с Николаем — и там он тоже не сказал, что доступ в админку уже не нужен.
Наверное, это недоработка Николая, что он недостаточно рассказал о серьёзности проблемы.
И что, блин? Это вообще теперь не имеет никакого смысла, если любой сайт можно сломать хоть откуда, если у него стандартный префикс таблиц.
Более того, префикс таблиц теперь приравнивается к паролю супер-админа, его нужно хранить за семью печатями! Вот что нужно было написать, а не как сейчас.
Но если ты считаешь, что я отмахнулся от проблемы и повёл себя как мудак — твоё право. У меня нет желания это обсасывать второй день подряд.
С моей стороны вопрос решен, дальше дело за ребятами из MODX.
Но Николая это не остановило.
А вот чуть позже Николай залез без админки, и сразу на рабочий проект и написал UPD2 у себя в заметке.
И еще кстати — в текущей заметке этого UPD2 до сих пор нет. Как считаешь, большая ли разница, когда для эксплуатации уязвимости нужен доступ в админку, а когда нет?
Но а так да, всё один в один, прям идентичные ситуации.
Пришлось доказывать на их же сайте.
И, насколько я помню, Евгений еще далеко не всё показал. Не удивлюсь, если и про сегодняшний баг он давно в курсе, просто стимула рассказывать авторам MODX больше нет.
Евгения Борисова, помню, в итоге вообще обматерили.
Вообще непонятно, как дальше жить. Думаем закрываться теперь.
Ладно, потестирую еще, а новую версию пока уберу из репо.
Повторить пока не могу, но буду наблюдать, спасибо.
Впервые серьёзно жалею, что работаю с MODX.
Потому что менять префиксы на всех MODX сайтах мне совершенно не улыбается.
По логам вижу, что ты долго долбился на коннектор от Office, видимо опять что-то с переключением контекстов. Если так — то мне как минимум нужно исправить свои компоненты, которые много где уже установлены.