Atualização de 23 de fevereiro de 2016 : O patch foi atualizado para a V1.1, que corrige uma série de problemas importantes listados nesta postagem, e aqui está a lista:
- Patch de mesclagem de carrinho (SUPEE-7978) : Os carros com itens idênticos agora são mesclados corretamente. Anteriormente, quando um carrinho com um item era mesclado com outro carrinho que continha o mesmo item, o Magento não mesclava os totais do carrinho corretamente. O carrinho agora inclui apenas um item e o total está correto.
- Patch da API SOAP (SUPEE-7822) : A API SOAP Magento agora funciona conforme o esperado. Antes de instalar o patch SUPEE-7405 v1.0, uma solicitação de API causava um erro 500 e o Magento registrava uma exceção.
- Compatibilidade com PHP 5.3 (SUPEE-7882) : O patch não era compatível com o PHP 5.3 para versões anteriores do Magento que ainda suportavam esta versão. Os comerciantes com esse problema não conseguiram visualizar as informações de vendas no Admin.
- Permissões de upload de arquivo : o patch restaura permissões de arquivo menos restritivas (0666 para arquivos e 0777 para diretórios), pois as permissões mais estritas introduzidas pelo patch SUPEE-7405 original fizeram com que muitos comerciantes não pudessem exibir imagens de produtos carregadas, dependendo da configuração do provedor de hospedagem .
Após cavar o patch, aqui estão as coisas relevantes / interessantes que eu encontrei (NB: esta lista foi feita analisando o patch para CE 1.9.2.0-1.9.2.2, provavelmente há mais para os patches que afetam versões mais antigas do Magento) :
- (corrigido na V1.1 do patch)
O uso de, em []
vez de array()
neste patch, o torna incompatível com o PHP <5.4 (veja problemas conhecidos abaixo)
- Como afirmado, a maioria das alterações são de escape de html e limpeza de dados em relação a problemas de XSS.
- A validação da chave do formulário foi adicionada ao login do administrador em
Mage_Admin_Model_Observer
- A validação da chave do formulário foi adicionada ao administrador esqueceu a senha em
Mage_Adminhtml_IndexController
- A validação da chave do formulário foi adicionada à senha de redefinição do administrador em
Mage_Adminhtml_IndexController
- A validação da chave do formulário foi adicionada à ação de exclusão do carrinho de front - end . A chave do formulário é adicionada ao
getDeleteUrl
de Mage_Checkout_Block_Cart_Item_Renderer
e validada no deleteAction
de Mage_Checkout_CartController
.
- Os eventos agora são despachados em letras minúsculas (todos os arquivos de configuração afetados foram modificados, por exemplo,
controller_action_postdispatch_checkout_onepage_saveOrder
torna-se controller_action_postdispatch_checkout_onepage_saveorder
). Isso não afeta a configuração dos observadores locais . Mais informações aqui: https://twitter.com/foomanNZ/status/689924329065164800
- Um novo validador para verificar se um arquivo carregado é uma imagem foi adicionado:
Mage_Core_Model_File_Validator_Image
- Uma nova seção Importar / Exportar aparece:
System => Configuration =>Advanced > System => Escape CSV Fields
- Novo evento enviado:
admin_user_validate
sobMage_Admin_Model_User
- SVG não é uma extensão do favicon válido mais
- Para aqueles que usam o Authorizenet (não), parece que algumas alterações foram feitas, mas não tenho certeza de como isso afeta o sistema. As alterações incluem um novo assistente de administração (
Mage_Authorizenet_Helper_Admin
) usado para obter o URL da ordem de sucesso.
- Nova classe Zend:
Zend_Xml_Security
. Seu objetivo é verificar a seqüência XML para possíveis ataques XXE e XEE. No entanto, não encontrei nenhuma referência a ele nos outros arquivos modificados.
- Os arquivos enviados via painel de administração (ou seja, upload de imagem do produto) agora não são legíveis mundialmente por padrão (antes: 777 / depois: 640).
- Os diretórios também não são executáveis em todo o mundo (antes de 755 / depois: 750). Esses dois podem causar problemas com imagens que não aparecem no site se o servidor da web for executado como um usuário diferente do php (créditos: @Rob Mangiafico)
- Em relação aos modelos de front-end : as únicas modificações feitas são o escape de dados , que não são disjuntores do sistema, mas ainda são recomendados para implementar em seu tema personalizado (e há apenas dois arquivos de front-end afetados, pouco trabalho;))
Problemas conhecidos após o patch:
Vou tentar manter esta lista o mais atualizada possível.
Antes de iniciar um novo problema / pergunta, verifique se você aplicou todos os patches anteriores , pois parece que muitos problemas decorrem da falta de patches.
Outra coisa é: se você modificou os arquivos principais, a aplicação do patch pode falhar. Se você está tendo um Hunk # failed at
erro em um arquivo específico e tem 100% de certeza de que aplicou todos os patches anteriores, verifique se possui o arquivo original da sua versão do Magento, verificando o espelho: https://github.com / OpenMage / espelho magento /
Lista de arquivos afetados
Pode ser encontrado nesta página aqui: https://magento.stackexchange.com/a/98232/2380 (créditos @MagenX)
Apenas EE
- Se você atualizou do Magento EE 1.14.2.x para o Magento EE 1.14.2.3 em vez de aplicar o patch, e também aplicou o patch de suporte SUPEE-5984 antes, é necessário reaplicá-lo novamente, pois não está incluído no release . => https://magento.stackexchange.com/a/98805/2380
Em relação ao Patch 7616:
Bons recursos sobre os patches Magento
Sinta-se livre para me informar se eu perder alguma coisa.