CE & EE basımında aşağıdaki sorunu gidermek için Magento sürüm yaması SUPEE-6482
Magento Topluluğu Sürümü için:
- Magento SOAP API'sine Otomatik Yüklenen Dosya İçeriği
- WSDL Dosyasındaki SSRF Güvenlik Açığı
Magento Enterprise Edition için
- Magento SOAP API'sine Otomatik Yüklenen Dosya İçeriği
- WSDL Dosyasındaki SSRF Güvenlik Açığı
- Doğrulanmamış Başlıkları Kullanan Siteler Arası Komut Dosyası Oluşturma
Hediye Sicili Aramasında XSS
Sınıfta değişiklik yapmak
Mage_Api_Model_Server_Adapter_Soap'taki Değişiklikler
: $urlModel->getUrl('*/*/*');
if ( $withAuth ) {
- $phpAuthUser = $this->getController()->getRequest()->getServer('PHP_AUTH_USER', false);
- $phpAuthPw = $this->getController()->getRequest()->getServer('PHP_AUTH_PW', false);
- $scheme = $this->getController()->getRequest()->getScheme();
+ $phpAuthUser = rawurlencode($this->getController()->getRequest()->getServer('PHP_AUTH_USER', false));
+ $phpAuthPw = rawurlencode($this->getController()->getRequest()->getServer('PHP_AUTH_PW', false));
+ $scheme = rawurlencode($this->getController()->getRequest()->getScheme());
if ($phpAuthUser && $phpAuthPw) {
$wsdlUrl = sprintf("%s://%s:%s@%s", $scheme, $phpAuthUser, $phpAuthPw,
Mage_Catalog_Model_Product_Api_V2'de değişiklik
public function create($type, $set, $sku, $productData, $store = null)
{
- if (!$type || !$set || !$sku) {
+ if (!$type || !$set || !$sku || !is_object($productData)) {
$this->_fault('data_invalid');
}
@@ -243,6 +243,9 @@ class Mage_Catalog_Model_Product_Api_V2 extends Mage_Catalog_Model_Product_Api
*/
protected function _prepareDataForSave ($product, $productData)
{
+ if (!is_object($productData)) {
+ $this->_fault('data_invalid');
+ }
if (property_exists($productData, 'website_ids') && is_array($productData->website_ids)) {
$product->setWebsiteIds($productData->website_ids);
}
Daha fazla bilgi için: http://www.amitbera.com/magento-security-patch-supee-6482/