RSS-стрічка усіх новин
RSS
Twitter
Twitter

Діра безпеки в joomlaFCK

  • Друк
Детальна інформація
Категорія: Компоненти / Модулі / Додатки Joomla!
Опубліковано: Вівторок, 29 серпня 2006 13:03
Автор Сметана Юрій

При використанні популярного візуального редактора для Joomla! joomlaFCK <= 1.1.5 чи joomlaFCK 1.2.0 будь-який користувач може вивантажувати файли на сервер.JoomlaFCK не дозволяє вивантажувати файли PHP, але пропустить файл .htaccess. А вказівка AddType в файлі .htaccess може дозволити сереру обробляти будь-який файл як PHP-файл!

Павло Зотов запропонував таке вирішення проблеми:

У файлі:
mambots/editors/fckeditor/editor/filemanager/browser/default/connector s/php/config.php


Після рядка 27 додайте код:


// Added by Pavel V. Zotov 20060720
define( '_VALID_MOS', 1 );

$allowed_backend_groups = array(23,24,25);

require_once( $mosConfig_absolute_path."/globals.php" );
require_once( $mosConfig_absolute_path."/includes/joomla.php" );
session_name( md5( $mosConfig_live_site ) );
session_start();
$mainframe = new mosMainFrame( $database, '', $mosConfig_absolute_path, 1 );
$my = $mainframe->initSessionAdmin( null, null );
if( !in_array( $my->gid, $allowed_backend_groups ) ) die( 'Restricted access' );
// end of addition by Pavel V. Zotov

Тепер, лише Супер Адміністратор, Адміністратор чи Менеджер (які увійшли в адміністративну частину)
 зможуть використовувати менеджер файлів joomlaFCK. :)

Share