IPB

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в данную темуНачать новую тему
> Уязвимость или ошибка?
leksti
сообщение 26.12.2016, 13:34
Сообщение #1


Активный участник
***

Группа: Модератор
Сообщений: 525
Регистрация: 27.12.2010
Из: Санкт-Петербург
Пользователь №: 736



Здравствуйте, Dennion!

Версия 41001 (та, что качается с официального сайта). В административную панель можно войти без ввода пароля, просто перейдя по ссылке мойсайт/phpshop/admpanel/admin.php То есть, при входе на /phpshop/admpanel/ пароль просит, а дальше можно и без него по прямой ссылке.

Можно при этом править каталоги и страницы, защищёнными паролем остаются только страницы настроек модуля. Я обновлял версию по инструкции с 3.5 до 4.0, потом до 4.1 на одном сайте, на другом ставил систему с нуля.

UPD: только что поставил с нуля систему, скачанную с сайта, чтобы проверить на 100%. Ситуация та же - по прямой ссылке вход в админку без всякого пароля.
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 26.12.2016, 15:41
Сообщение #2


Администратор
***

Группа: Главные администраторы
Сообщений: 5911
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Пароль просит 1 раз при авторизации, далее он хранится в сессии и пока не закрыли браузер он пускает без пароля. Некоторые хостинги хранят сессии по полнедели.
Перейти в начало страницы
 
+Цитировать сообщение
leksti
сообщение 26.12.2016, 16:07
Сообщение #3


Активный участник
***

Группа: Модератор
Сообщений: 525
Регистрация: 27.12.2010
Из: Санкт-Петербург
Пользователь №: 736



Цитата(Dennion @ 26.12.2016, 16:41) *
Пароль просит 1 раз при авторизации, далее он хранится в сессии и пока не закрыли браузер он пускает без пароля. Некоторые хостинги хранят сессии по полнедели.

Сейчас совершил следующий порядок действий:

1) Поставил чистую CMS.

2) На планшете очистил в браузере все куки и сессии. Вошёл без пароля по прямой ссылке в админку.

3) Повторил то же самое на телефоне.

Хостинг - Beget. Посмотрите, может, получится войти?
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 26.12.2016, 18:01
Сообщение #4


Администратор
***

Группа: Главные администраторы
Сообщений: 5911
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Да, как-то странно в 4.1 реализовано это...хм
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 26.12.2016, 18:13
Сообщение #5


Администратор
***

Группа: Главные администраторы
Сообщений: 5911
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Надо заменить файл из архива в /phpshop/class/
Прикрепленный файл  base.class.php.zip ( 2,48 килобайт ) Кол-во скачиваний: 1
Перейти в начало страницы
 
+Цитировать сообщение
leksti
сообщение 26.12.2016, 18:27
Сообщение #6


Активный участник
***

Группа: Модератор
Сообщений: 525
Регистрация: 27.12.2010
Из: Санкт-Петербург
Пользователь №: 736



Цитата(Dennion @ 26.12.2016, 18:13) *
Надо заменить файл из архива в /phpshop/class/
Прикрепленный файл  base.class.php.zip ( 2,48 килобайт ) Кол-во скачиваний: 1


Спасибо!
Перейти в начало страницы
 
+Цитировать сообщение
Dennion
сообщение 27.12.2016, 14:30
Сообщение #7


Администратор
***

Группа: Главные администраторы
Сообщений: 5911
Регистрация: 20.8.2009
Из: Москва
Пользователь №: 1
Версия CMS Free: 3.3



Выложил обновление 4.1.0.0.2 и добавил сборку 4.1.0.0.2 для загрузки вместо 4.1.0.0.1
Новость по теме: https://www.phpshopcms.ru/news/ID_kritiches...dlya-41001.html
Перейти в начало страницы
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 9.12.2019, 22:21