Василий Наумкин

Давно стоит, но я же в админке авторизован — так что не катит для 100% проверки.

Не могу повторить.

Что именно ты делаешь, опубликовываешь или сохраняешь?

У ms2Gallery есть параметры &parents и &resources, которые работают аналогично pdoResources.

Ну и &showLog, вроде, тоже есть.

Нет

В общем, произвёл взлом чужого сайта в личных целях, молодец.

Хоть бы сообщество ломал, а не магазин, который приносит доход и тебе, в том числе.

Сережа, ты по-русски не понимаешь?

Еще раз: на момент публикации моего комментария не было известно, что для эксплуатации уязвимости не нужен вход в админку.

Достаточно было дописать в заметке, что уязвимость можно эксплуатировать хоть откуда, и всё. Я не просил её доказывать, я не отмахивался от неё. Мы её и по почте обсудили с Николаем — и там он тоже не сказал, что доступ в админку уже не нужен.

Наверное, это недоработка Николая, что он недостаточно рассказал о серьёзности проблемы.

P.S. И еще заповедь: не пускайте никого в админку, даже с самыми минимальными правами. Это практически 100% гарантия взлома при желании.

И что, блин? Это вообще теперь не имеет никакого смысла, если любой сайт можно сломать хоть откуда, если у него стандартный префикс таблиц.

Более того, префикс таблиц теперь приравнивается к паролю супер-админа, его нужно хранить за семью печатями! Вот что нужно было написать, а не как сейчас.

Но если ты считаешь, что я отмахнулся от проблемы и повёл себя как мудак — твоё право. У меня нет желания это обсасывать второй день подряд.

С моей стороны вопрос решен, дальше дело за ребятами из MODX.

Да я вроде тоже не предлагал демонстрировать это на моих проектах, не правда ли?

Но Николая это не остановило.

Кстати, на тот момент считалось, что доступ в админку необходим и мой способ вполне себе работает.

А вот чуть позже Николай залез без админки, и сразу на рабочий проект и написал UPD2 у себя в заметке.

И еще кстати — в текущей заметке этого UPD2 до сих пор нет. Как считаешь, большая ли разница, когда для эксплуатации уязвимости нужен доступ в админку, а когда нет?

Но а так да, всё один в один, прям идентичные ситуации.

Исправил, спасибо.

Большую красную кнопку внизу не видно?

Николаю спасибо!

Ну, иначе высокое руководство не считало те дыры — дырами, и отмахивались, мол так и задумано.
Пришлось доказывать на их же сайте.

И, насколько я помню, Евгений еще далеко не всё показал. Не удивлюсь, если и про сегодняшний баг он давно в курсе, просто стимула рассказывать авторам MODX больше нет.

Конечно.

Дождёшься от них, держи карман шире.

Евгения Борисова, помню, в итоге вообще обматерили.

Для пользователей хостинга modhost.pro вообще ужас ужас. ))

И не говори!

Вообще непонятно, как дальше жить. Думаем закрываться теперь.

Поправил, спасибо.

Ага, вижу. Явно что-то с кэшированием скриптов.

Ладно, потестирую еще, а новую версию пока уберу из репо.

На этом сайте Fenom работает только в чанках, для страниц он отключен — так что вряд ли это связано с обновлением.

Повторить пока не могу, но буду наблюдать, спасибо.

Прекрасно.

Впервые серьёзно жалею, что работаю с MODX.

Так ты тогда хоть напиши где именно проблема.
Потому что менять префиксы на всех MODX сайтах мне совершенно не улыбается.

По логам вижу, что ты долго долбился на коннектор от Office, видимо опять что-то с переключением контекстов. Если так — то мне как минимум нужно исправить свои компоненты, которые много где уже установлены.