Сергей Шлоков

Добавлю ещё, что сила, конечно, в правде, но в сильной правде силы больше :))

Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]
Запрет неавторизованного доступа к процессорам [#13175]
Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]

Может через пару месяцев напишешь про то, как это можно было сделать? Интересно. Ведь даже авторы MODX не сообразили.

Справедливости ради, кабы Николай не поднял эту волну, так и сидели бы ровно за «стеклянной дверью». Да и тебе профит вон какой прилетел. :) И ребят из MODX попинали. 2 года назад ты один их не смог растолкать. А щас толпой навалились и результат почти мгновенный. Даже Марк по-русски заговорил :)) Прогресс на лицо. )

Дядя Женя, простишь их? :)

It's great!
I know the man who knows some vulnerabilities of MODX. But he got a not very good experience in communicating with the MODX team. And the MODX community suffer from this misunderstanding between you and him.

Ещё пропала информация о закачках в блоке информации о компонентах, упоминающихся в статье.

Что-то пошло не так.

Тема явно произвела впечатление.

Иииииихаааааааа. )) Теперь держимся крепче, чтобы не вывалиться.

Видимо они вовсю пользуются возможностью передавать сырой SQL. Им твоя заплатка поломает сайты.
А на своих сайтах нам надо повесить предупреждение для хакеров, чтобы они не посылали чистые sql запросы, ведь нужно использовать первичные ключи. Так Джейсон сказал!!!
Немного конспирологии… А может они специально оставляют эти дырки по просьбе АНБ. :)

Точно. Вернул всё взад, теперь работает как надо.

В общем, у меня на сайте, если открыть любую статью получаю количество просмотров для первой статьи. Данные формирует сниппет TicketMeta.

Василий, а так должно быть?
После обновления не мог понять, почему у меня при просмотре любой статьи показывает одни и те же данные о просмотре (только первой).

Я себе добавил. Заодно и потестирую.

Предложил код автору xPDO, буду ждать ответа.

Не забывай, сейчас выходные. Да ещё Рождество и Новый год скоро… Надеюсь, хотя бы в третьей версии MODX добавят. Осталось набраться терпения. :)
Ибо неведомы автору xPDO наши переживания, чего ему ноги ломать…

Но я уже ни в чём не уверен.

Я тоже. В этом плане знаний маловато. Просто исхожу из комментария Евгения

Это проблему не решает. Есть куча точек в хода из различных компонентов, которые оставляют коннекторы в /assets/components/

Насколько я понимаю, именно для этого скрывается папка с коннекторами, а тут лежит в открытом доступе.
Очень хочется, чтобы Евгений успокоил насчет этого.

Думаю, так правильней.
Посмотрел Tickets (только он открыт). mSearch2 и Office обновил не глядя. Данный фикс немного меня успокоил. Я всегда так фильтрую данные в своих компонентах (на всякий ещё проверю все). Я про это даже статью год назад написал. Возможно Евгений её раскритикует, но для обсуждаемого случая она актуальна.
Но этот фикс решает половину проблемы. Что делать с коннектором (connector.php)? Евгений заходит через него. Запрос в ObjectGetProcessor с кривым id и милости просим. MODX это не фильтрует.
Т.е. надо переопределять метод initialize для всех get/update/delete процессоров и фильтровать в нём id.

public function initialize() {
        $primaryKey = (int) $this->getProperty($this->primaryKeyField,false);
	$this->setProperty($this->primaryKeyField, $primaryKey)
	return parent::initialize();
}

Очень хотелось бы услышать мнение Евгения по этому поводу.
П.С. По хорошему, MODX должен в процессоре смотреть мету ключа и фильтровать.

А сегодня весь день буду обновлять свои дополнения на предмет фильтрации этих слепых SQL в запросах.

Нам всем теперь нужно это сделать. Было бы неплохо написать про это инструкцию.

Это не ко мне. Это как если бы спросил про влияние планеты Нептун на рождаемость сурикатов в неволе.

Этот тег отвечает за относительные адреса в ссылках, путях картинок и т.п. Он не влияет на адрес внутренних страниц. Видимо где-то сломана переадресация.