Pada 27 Oktober 2015, Magento telah merilis patch keamanan SUPEE-6788. Menurut perincian teknis , 4 APPSEC yang telah diperbaiki memerlukan pengerjaan ulang dalam modul lokal dan komunitas:
- APPSEC-1034, mengatasi melewati URL admin khusus (dinonaktifkan secara default)
- APPSEC-1063, mengatasi kemungkinan injeksi SQL
- APPSEC-1057, metode pemrosesan template memungkinkan akses ke informasi pribadi
- APPSEC-1079, menangani potensi eksploitasi dengan jenis file opsi kustom
Saya bertanya-tanya bagaimana cara memeriksa modul mana yang dipengaruhi oleh patch keamanan ini.
Saya datang dengan solusi parsial berikut:
- APPSEC-1034: cari
<use>admin</use>
di config.xml dari semua modul lokal dan komunitas. Saya pikir ini harus mencantumkan semua modul yang terpengaruh oleh masalah ini. - APPSEC-1063: mencari
addFieldToFilter('(
danaddFieldToFilter('`
di semua file PHP modul lokal dan komunitas. Ini tidak lengkap, karena variabel juga dapat digunakan. - APPSEC-1057: mencari
{{config path=
dan{{block type=
dalam semua file PHP modul lokal dan komunitas, dan menyaring semua elemen dari daftar putih. Ini tidak lengkap, karena tidak mengandung variabel template yang ditambahkan oleh admin. - APPSEC-1079: tidak tahu.
Ada juga daftar ekstensi yang rentan untuk APPSEC-1034 dan APPSEC-1063 yang disusun oleh Peter Jaap Blaakmeer