Уязвимость MODx
Сегодня случайно заметил нового юзера в списке т.к. регистрации нет, я был удивлен, зашел в Яндекс.Метрику и у видел следующее:

Соответственно "fuckyoumodxrevolutionagain2" это начало мыла, которое хранилось в бд, логин был connectorAdmin. Юзера то я удалил и завершил сеансы, но странно, вроде бы MODX Revolution 2.3.1-pl и об уязвимости новостей небыло.
Возможно это отголосок прошлых версий?

Соответственно "fuckyoumodxrevolutionagain2" это начало мыла, которое хранилось в бд, логин был connectorAdmin. Юзера то я удалил и завершил сеансы, но странно, вроде бы MODX Revolution 2.3.1-pl и об уязвимости новостей небыло.
Возможно это отголосок прошлых версий?
Комментарии: 16
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
p.s. судя по again2, может стоит ожидать скорого анонса от Евгения Борисова (Agel_Nash'а)? Если мне память не изменяет, он как раз 2 крупные уязвимости на белый свет вытащил. Эта будет третьей
Может быть, что её пофиксили не до конца. В любом случае, советую закрывать админку по паролю или ip.
Fi1osof1. Перенос админки.
2. Переименование админки.
3. Закрывать паролем.
4. Выставлять уникальный префикс у таблиц.
Какие из пунктов важные, какие нет. Вот бы выяснить.
Fi1osofFi1osofmodx-2.3.1-pl-advanced.zip
там только core,setup
Fi1osofПросто я все еще на 2.2+ сижу. Не доходят у меня что-то руки до 2.3
Fi1osofЯ писал об этом ещё в марте.