STM

Да, чего нокстера не чистишь? Или тут пургу можно только в одностороннем порядке гнать? Видел тут не только мои сообщения были удалены.

А какой нехороший человек чистит ветку?

Да причём тут это. Я конкретно с Simpla не работал и не собирался. Был свой интерес но быстро прошел после более глубокого изучения. У Simpla нет перпектив, особенно с таким подходом. Сейчас много новых SaaS решений. СMS уже никому не нужны особенно платные. Даже самые популярные CMS умирают, WordPress только пока стагнирует. Вы серьёзно?

Меня тут и не было. Мимо проходил.

Нет, не с программиста. На что-то более перспективное. А лучше всего на другой язык, или другие технологии.

Люди вы серьёзно? Simpla не обновлялась 3 года и вы только собрались ошибки искать?Если обновление не выйдет в ближайшее время, вам лучше переучиваться на что-то другое чем тут ошибки искать.

Как вариант когда заполняете пишите через запятую в одно свойство значения, а не в разные.

Кокретней можно? Это как бы далеко не шутки. Для интернет магазина который связан с онлайн оплатами такие дырки недопустимы.

Методов как залить файл без загрузчика тоже хватает. К примеру добавление цифрового товара. Сначала заливаем пустой .htaccess он заменяет существующий, потом заливаем шелл, и всё можно выполнять из папки files/downloads если .htaccess в папке files не работает. Админку тоже можно взломать. В Simpla это не так сложно. Проблема будет в том что через шелл можно получить доступ к всему серверу и к другим сайтам если он не один.

Дело в том что в папке files есть .htaccess с содержимым RemoveType .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml Который должен запрещать выполнение перечисленных файлов из этой директории. Но видимо это работает не на всех серверах. Файл можно залить не только через загрузчик. У меня получилось запретить доступ в такой способ: <FilesMatch ".(htaccess|ini|phps|fla|psd|log|sh|php)$"> Order Allow,Deny Deny from all </FilesMatch> где нужно перечислить расширения файлов доступ к которым хотите запретить.

У меня получилось через Order Deny, Allow Deny from all сделать запрет.

По крайней мере там не разгружаются php. Есть какое-то лучше решение? Можно то загрузчик вообще отключить. Ну это не поможет так как нужно защитить всю директорию files. Так как залить можно и через цифровые товары.

Лучше всего сразу обновить TinyMCE и сменить загрузчик на responsive filemanager.

На демке закрылась уязвимость. Видимо дело в разных серверах.

Если заменить содержимое файла .htaccess в паке files на php_flag engine 0 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp То всё ок. Файл выполняется как html