Em 27 de outubro de 2015, o Magento lançou o patch de segurança SUPEE-6788. De acordo com os detalhes técnicos , 4 APPSECs que foram corrigidos requerem algum retrabalho nos módulos locais e comunitários:
- APPSEC-1034, endereçando ignorando o URL de administrador personalizado (desativado por padrão)
- APPSEC-1063, abordando possível injeção de SQL
- APPSEC-1057, método de processamento de modelo, permite acesso a informações privadas
- APPSEC-1079, abordando exploração potencial com o tipo de arquivo de opção personalizado
Eu queria saber como verificar quais módulos são afetados por esse patch de segurança.
Eu vim com a seguinte solução parcial:
- APPSEC-1034: procure
<use>admin</use>
no config.xml de todos os módulos local e da comunidade. Eu acho que isso deve listar todos os módulos afetados por esse problema. - APPSEC-1063: procure
addFieldToFilter('(
eaddFieldToFilter('`
em todos os arquivos PHP dos módulos local e comunitário. Isso está incompleto, pois as variáveis também podem ser usadas. - APPSEC-1057: procure
{{config path=
e{{block type=
em todos os arquivos PHP dos módulos local e comunitário e filtre todos os elementos da lista de permissões. No entanto, isso está incompleto, pois não contém nenhuma variável de modelo adicionada pelos administradores. - APPSEC-1079: não faço ideia.
Há também uma lista de extensões vulneráveis ao APPSEC-1034 e APPSEC-1063 compiladas por Peter Jaap Blaakmeer