edit [SICUREZZA] Grave falla sistema accesso admin + FIX
Inviato: 17/06/2009, 23:51
edit by hOZONE
il seguente post (vedi sotto), ad opera dell'utente "marcus", è stato giudicato non idoneo dall'amministratore, poichè non è stata data la possibilità alla "controparte" citata (bass, enplim, simona67), di ribattere con la stessa visibilità: infatti questo post era impostato come "annuncio", e "bloccato" alle risposte.
in seguito a quanto esposto sopra, e visto che "L'operato dei moderatori è insindacabile e può essere giudicato solo dall'amministratore del sito" (come da regolamento).
l'amministraore (hOZONE) procede a:
1) declinare il ruolo di moderazione all'utente marcus
2) riaprire il seguente post, così da permettere alle parti interessate di eventualmente chiarire la segnalazione con la stessa visibilità data a questo messaggio
ricordo che (come da regolamento):
"...Da parte dei moderatori e dell'amministrazione del forum vi è sempre piena disponibilità al dialogo, in forma privata (via mail o messaggi privati) per cercare di appianare possibili rimostranze. Cercare il dialogo è in ogni caso la strada preferibile per appianare discordie o, quantomeno, meglio capire il perchè di interventi da parte dei moderatori..."
note:
. prego di scrivere in questo post solo agli utenti interessati
. in rispetto al regolamento chiunque si senta in parere diverso rispetto alla decisione dell'amministratore è pregato di contattarmi via PM
. prego chiunque voglia rispondere in questo post di rispettare il regolamento del forum
l'amministratore:
hOZONE
nota bis:
attualmente sono in cina, sarò in volo domani per la francia e credo riuscirò a tornare in italia per lunedì, quindi non so se potrò di qui a qualche ora essere attivo per le rispote, prego vivamente quindi gli utenti di mantenere toni pacati e seguire le regole del forum.
Segnalo un grave problema di sicurezza già sollevato sul sito ufficiale oscommerce.com ma passato inosservato su i forum italiani.
Si tratta di una falla estremamente grave in quanto consente di acquisire accesso amminstrativo al backoffice di osC.
Ne sono potenzialmente affetti tutti gli shop che usano la contribution HTML WYSIWYG Editor for Product Desc con multi images divenuta (purtroppo) quasi uno standard, e non fanno uso del file .htaccess per la protezione admin.
Molti pacchetti largamente diffusi sono affetti da questo bug:
- Pacchetto osct free di Bass
- Pacchetto osct professional della enplin versione vecchia con editor html area
- Vecchio Totalpack by simona67 e GDI PRO
E' consigliabile per tutti gli utenti di questi pacchetti e di tutti i sistemi che usano htmlarea aggiornare il loro shop.
In allegato il fix da applicare.
Marcus
http://www.oscommercedev.com
il seguente post (vedi sotto), ad opera dell'utente "marcus", è stato giudicato non idoneo dall'amministratore, poichè non è stata data la possibilità alla "controparte" citata (bass, enplim, simona67), di ribattere con la stessa visibilità: infatti questo post era impostato come "annuncio", e "bloccato" alle risposte.
in seguito a quanto esposto sopra, e visto che "L'operato dei moderatori è insindacabile e può essere giudicato solo dall'amministratore del sito" (come da regolamento).
l'amministraore (hOZONE) procede a:
1) declinare il ruolo di moderazione all'utente marcus
2) riaprire il seguente post, così da permettere alle parti interessate di eventualmente chiarire la segnalazione con la stessa visibilità data a questo messaggio
ricordo che (come da regolamento):
"...Da parte dei moderatori e dell'amministrazione del forum vi è sempre piena disponibilità al dialogo, in forma privata (via mail o messaggi privati) per cercare di appianare possibili rimostranze. Cercare il dialogo è in ogni caso la strada preferibile per appianare discordie o, quantomeno, meglio capire il perchè di interventi da parte dei moderatori..."
note:
. prego di scrivere in questo post solo agli utenti interessati
. in rispetto al regolamento chiunque si senta in parere diverso rispetto alla decisione dell'amministratore è pregato di contattarmi via PM
. prego chiunque voglia rispondere in questo post di rispettare il regolamento del forum
l'amministratore:
hOZONE
nota bis:
attualmente sono in cina, sarò in volo domani per la francia e credo riuscirò a tornare in italia per lunedì, quindi non so se potrò di qui a qualche ora essere attivo per le rispote, prego vivamente quindi gli utenti di mantenere toni pacati e seguire le regole del forum.
Segnalo un grave problema di sicurezza già sollevato sul sito ufficiale oscommerce.com ma passato inosservato su i forum italiani.
Si tratta di una falla estremamente grave in quanto consente di acquisire accesso amminstrativo al backoffice di osC.
Ne sono potenzialmente affetti tutti gli shop che usano la contribution HTML WYSIWYG Editor for Product Desc con multi images divenuta (purtroppo) quasi uno standard, e non fanno uso del file .htaccess per la protezione admin.
Molti pacchetti largamente diffusi sono affetti da questo bug:
- Pacchetto osct free di Bass
- Pacchetto osct professional della enplin versione vecchia con editor html area
- Vecchio Totalpack by simona67 e GDI PRO
E' consigliabile per tutti gli utenti di questi pacchetti e di tutti i sistemi che usano htmlarea aggiornare il loro shop.
In allegato il fix da applicare.
Marcus
http://www.oscommercedev.com