Parche de seguridad SUPEE-10266 - ¿Posibles problemas?

36

Un nuevo parche de seguridad está disponible para Magento 1, que aborda 13 problemas de APPSEC

https://magento.com/security/patches/supee-10266

¿Qué problemas comunes debe tener en cuenta al aplicar este parche?

SUPEE-10266, Magento Commerce 1.14.3.6 y Open Source 1.9.3.6 contienen múltiples mejoras de seguridad que ayudan a cerrar la falsificación de solicitudes entre sitios (CSRF), fuga de datos no autorizada y vulnerabilidades de ejecución remota de código de usuario administrador autenticado. Estas versiones también incluyen soluciones para problemas con la recarga de imágenes y pagos mediante el pago en un solo paso.

— Luke Rodgers
fuente

Problema de enfrentamiento cuando se aplica a 1.9.3.2 - magento.stackexchange.com/questions/193451/…

— Shrenik

13

Parte de la información importante se comparte aquí. La mayoría de los archivos del backend de Magento. El archivo enumera:

app/code/core/Mage/Admin/Model/Session.php
app/code/core/Mage/Adminhtml/Block/Notification/Grid/Renderer/Notice.php
app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
app/code/core/Mage/Adminhtml/Controller/Action.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/Newsletter/TemplateController.php
app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Core/Model/Email/Template/Abstract.php
app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Rss/Helper/Data.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Zend/Serializer/Adapter/PhpCode.php
app/design/adminhtml/default/default/template/backup/dialogs.phtml
app/design/adminhtml/default/default/template/catalog/product/edit/options/type/file.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/login.phtml
app/design/adminhtml/default/default/template/notification/toolbar.phtml
app/design/adminhtml/default/default/template/oauth/authorize/form/login.phtml
app/design/adminhtml/default/default/template/resetforgottenpassword.phtml
app/design/adminhtml/default/default/template/sales/order/view/history.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/install/default/default/template/install/create_admin.phtml
app/locale/en_US/Mage_Adminhtml.csv
downloader/template/login.phtml

Lo importante es verificar estos tres archivos.

app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Mage/Core/Model/File/Validator/Image.php

app / code / core / Mage / Checkout / controllers / CartController.php condición adicional verifique la identificación del cliente :

diff --git app/code/core/Mage/Checkout/controllers/CartController.php app/code/core/Mage/Checkout/controllers/CartController.php
index 7c9f28f..bee6034 100644
--- app/code/core/Mage/Checkout/controllers/CartController.php
+++ app/code/core/Mage/Checkout/controllers/CartController.php
@@ -284,14 +284,16 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
     public function addgroupAction()
     {
         $orderItemIds = $this->getRequest()->getParam('order_items', array());
+        $customerId   = $this->_getCustomerSession()->getCustomerId();

-        if (!is_array($orderItemIds) || !$this->_validateFormKey()) {
+        if (!is_array($orderItemIds) || !$this->_validateFormKey() || !$customerId) {
             $this->_goBack();
             return;
         }

         $itemsCollection = Mage::getModel('sales/order_item')
             ->getCollection()
+            ->addFilterByCustomerId($customerId)
             ->addIdFilter($orderItemIds)
             ->load();
         /* @var $itemsCollection Mage_Sales_Model_Mysql4_Order_Item_Collection */
@@ -709,4 +711,14 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
         $this->getResponse()->setHeader('Content-type', 'application/json');
         $this->getResponse()->setBody(Mage::helper('core')->jsonEncode($result));
     }
+
+    /**
+     * Get customer session model
+     *
+     * @return Mage_Customer_Model_Session
+     */
+    protected function _getCustomerSession()
+    {
+        return Mage::getSingleton('customer/session');
+    }
 }

app / code / core / Mage / Sales / Model / Resource / Order / Item / Collection.php agregado Método adicional addFilterByCustomerId en la colección.

diff --git app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
index ee83ad48..c02afdf 100644
--- app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
+++ app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
@@ -152,4 +152,20 @@ class Mage_Sales_Model_Resource_Order_Item_Collection extends Mage_Sales_Model_R
         $this->getSelect()->where($resultCondition);
         return $this;
     }
+
+    /**
+     * Filter by customerId
+     *
+     * @param int|array $customerId
+     * @return Mage_Sales_Model_Resource_Order_Item_Collection
+     */
+    public function addFilterByCustomerId($customerId)
+    {
+        $this->getSelect()->joinInner(
+            array('order' => $this->getTable('sales/order')),
+            'main_table.order_id = order.entity_id', array())
+            ->where('order.customer_id IN(?)', $customerId);
+
+        return $this;
+    }
 }

app / code / core / Mage / Core / Model / File / Validator / Image.php

si 'general / reprocess_images / active' es falso, omita el reprocesamiento de imágenes. NOTA: Si desactiva el reprocesamiento de imágenes, el proceso de carga de imágenes puede ocasionar riesgos de seguridad.

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 9d57202..6a939c3 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -91,6 +91,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Espero que sea útil. Yo creo que

— Rama Chandran M
fuente

¿Podría especificar qué tan exactamente deberíamos verificar los posibles problemas de CartController.php y Collection.php? ¿Dónde exactamente buscar posibles fallas en el sitio web?

— Icono

He actualizado los sitios del parche de seguridad 3, los tres sitios anulan estos dos archivos. Verifique y actualice cuidadosamente estos dos archivos. No hay Gitches suceden en los 3 sitios

— Rama Chandran M

10

EE 1.14.2.4

Error tipográfico en la línea 726 del parche: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

El parche parece faltar a 2 archivos frontend:

Parcheado:

app\design\adminhtml\default\default\template\oauth\authorize\form\login-simple.phtml

No parcheado:

app\design\frontend\base\default\template\oauth\authorize\form\login-simple.phtml app\design\frontend\rwd\default\template\oauth\authorize\form\login-simple.phtml

Además, no olvide verificar las anulaciones locales ... Tuve que parchear manualmente una anulación de agrupación de códigos local de app\design\adminhtml\default\default\template\sales\order\view\info.phtml

Vea la respuesta de cuasiobject para un problema de pago de una página. Ticket de soporte empresarial creado, esperando respuesta de Magento. Si no desea esperar un parche actualizado, una posible solución es modificar la declaración "else" app\design\frontend\enterprise\default\template\giftcardaccount\onepage\payment\scripts.phtmlpara incluir el elemento form_key de la siguiente manera:
if (($('p_method_' + methodName) && $('p_method_' + methodName).checked) || elements[i].name == 'form_key') { ...

CE 1.9.2.4

Error tipográfico en la línea 694 del parche: autocomplete="new-pawwsord" ( app/design/adminhtml/default/default/template/backup/dialogs.phtml)

La extensión TrueOrderEdit necesita ser parcheada ... cambie echo $_groupNamea echo $this->escapeHtml($_groupName)en los siguientes archivos:

app\design\adminhtml\default\default\template\orderedit\sales\order\view\edit.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\history.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\info.phtml

Finalmente, este archivo de plantilla principal probablemente también debería ser parcheado con la misma actualización $ _groupName:

app\design\adminhtml\default\default\template\sales\order\view\edit.phtml

Todas las versiones 1.X

Si ha eliminado la /downloadercarpeta (o /downloader/template) de su base de código, es posible que deba editar manualmente el archivo de parche .sh y eliminar la última sección, comenzando condiff --git downloader/template/login.phtml downloader/template/login.phtml

Con respecto al error de clave secreta no válida , consulte mi respuesta aquí: Clave secreta no válida de Magento 1.9. Por favor actualiza la página

— kmdsax
fuente

También encontré el error tipográfico para el parche 1.7.0.2. autocompletar = "nuevo-pawwsord". ¿En algún caso afecta la operación del código? Si es así, ¿tal vez la versión 2 del parche en camino?

— Icono

Essentiall el error tipográfico está en el código responsable del truco de Firefox. "Este es un campo oculto ficticio para engañar a Firefox para que no complete automáticamente la contraseña" ... no parece nada importante.

— Icono

@kmdsax Recibí un parche del soporte para solucionar el problema. Actualicé mi respuesta con los detalles.

— cuasiobject

¿podría ayudarme a resolver mi error magento.stackexchange.com/q/204446/57334

— zus

9

Nosotros en MageHost.pro encontramos un problema en el parche para Magento 1.9.1.1, archivo de parchePATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh

Error:

checking file app/code/core/Mage/Core/Model/File/Validator/Image.php
Hunk #1 FAILED at 90.
1 out of 1 hunk FAILED

Lo arreglé reemplazando las líneas 454-472 por 454-471 de PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh

Código antiguo, línea 454-472:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 7f7b9d0..8a28da2 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,7 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         $fileInfo = getimagesize($filePath);
         if (is_array($fileInfo) and isset($fileInfo[2])) {
             if ($this->isImageType($fileInfo[2])) {
-                return null;
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
             }
         }
         throw Mage::exception('Mage_Core', Mage::helper('core')->__('Invalid MIME type.'));

Nuevo código, líneas 454-471:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 8618bca..d3aba19 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,6 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

— Jeroen Vermeulen - MageHost
fuente

¿Has buscado otras versiones? En caso afirmativo, ¿está presente el mismo problema?

— Icono

1

@Icon Hemos probado ce-1.6.0.0 ce-1.6.1.0 ce-1.6.2.0 ce-1.7.0.0 ce-1.7.0.1 ce-1.7.0.2 ce-1.8.0.0 ce-1.8.1.0 ce-1.9.0.0 ce -1.9.0.1 ce-1.9.1.0 ce-1.9.1.1 ce-1.9.2.0 ce-1.9.2.1 ce-1.9.2.2 ce-1.9.2.3 ce-1.9.2.4 ce-1.9.3.0 ce-1.9.3.1 ce -1.9.3.2 ce-1.9.3.3 ce-1.9.3.4. Todas las versiones tenían todos los parches anteriores instalados. El único con un error de parche fue ce-1.9.1.1.

— Jeroen Vermeulen - MageHost

6

Parece que solo 1 clave de formulario se ha agregado en este parche.

diff --git app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
index 8756f3f..1c5cf37 100644
--- app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
+++ app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
@@ -96,7 +96,10 @@ class Mage_Adminhtml_Block_Widget_Form_Container extends Mage_Adminhtml_Block_Wi

     public function getDeleteUrl()
     {
-        return $this->getUrl('*/*/delete', array($this->_objectId => $this->getRequest()->getParam($this->_objectId)));
+        return $this->getUrl('*/*/delete', array(
+            $this->_objectId => $this->getRequest()->getParam($this->_objectId),
+            Mage_Core_Model_Url::FORM_KEY => $this->getFormKey()
+        ));
     }

Entonces, si tiene alguna dificultad para eliminar un widget del panel de administración, asegúrese de que el bloque esté generando su URL de eliminación y de que no tenga anulaciones de este bloque.

— Luke Rodgers
fuente

¿Cómo puedo resolver este magento.stackexchange.com/q/204446/57334 ?

— zus

5

Imposible pagar en EE 1.11+

En app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtmlel formulario, se ha eliminado el código de validación de la clave y se rompe el pago completo, más información aquí: https://magento.stackexchange.com/a/193442/2380

Solución alternativa por ahora (como V2 para EE 1.11+ se lanzará para resolver ese problema): deshaga el archivo de plantilla para ambos enterprise/defaulty los rwd/entreprisetemas.

Diferencias entre parche y versión

EDITAR: 1.9.3.6 se lanzó, por lo que esta información ya no es relevante

Uno de los principales problemas que se ha planteado por ahora es que a 1.9.3.5 le faltan 3 parches de seguridad del parche. Por lo tanto, recomiendo encarecidamente solo parchear y no actualizar a 1.9.3.5 todavía

— Raphael en Digital Pianism
fuente

¿Tiene más información sobre esto, como un ejemplo de un archivo sin parchar en 1.9.3.5?

— Luke Rodgers

¿Sigue esto en curso para CE / Open Source? Para EE / Commerce no hay disponible una descarga 1.14.3.5, solo 1.14.3.6.

— 7ochem

En la página de descarga de CE / Open Source también hay solo 1.9.3.6 (desde el 14 de septiembre, dice) y ya no hay 1.9.3.5

— 7ochem

44

1.9.3.6 se lanzó ayer, esta información ya no es relevante.

— Ryan Hoerr

5

Todavía estoy tratando de determinar si esto es exclusivo de nuestra tienda, debido a las plantillas personalizadas. Sin embargo, se rompe con el parche aplicado y no se rompe cuando volvemos. Quería publicar en caso de que otros puedan informar lo mismo.

En EE 1.14.2.0, no podemos avanzar más allá del paso Información de pago de la compra con el parche aplicado. Estamos actualizados hasta SUPEE-9767 v2 antes de aplicar el nuevo parche.

Nuestro problema parece derivarse de la eliminación || elements[i].name == 'form_key'de:

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Se elimina del enablePaymentMethodsbucle. Eso parece dejar deshabilitada la entrada oculta form_key del formulario y, por lo tanto, no se pasa al controlador cuando se envía.

<input name="form_key" type="hidden" value="X" disabled="">

Luego, $this->_validateFormKey()falla y el controlador no devuelve nada.

Actualización 1 (2017-09-18) : envié un ticket al soporte de Magento el viernes y me dijeron que "[todavía no] había sido informado por ningún comerciante". En lugar de enviar copias de seguridad, intenté duplicar en una instalación limpia de 1.14.2.4 y 1.14.3.4 con los parches aplicables aplicados. Pude duplicar y respondí al boleto. En espera de una nueva respuesta.

Nota: Sistema> Configuración> Administrador> Seguridad> Habilitar validación de clave de formulario al finalizar la compra debe ser "Sí". Si "No", no verá el problema.

Actualización 2 (2017-09-18) : Noté que no podía duplicar el problema con 1.14.3.6, pero cuando revisé el archivo de plantilla anterior, || elements[i].name == 'form_key'todavía está allí. Parece que los parches no deberían haberlo eliminado. También envió esta información al soporte de Magento.

Actualización 3 (2017-09-20): Acabo de recibir un parche para solucionar el problema de 1.14.0.0–1.14.3.4, que simplemente restaura la form_keylínea a la plantilla. Solicite asistencia para SUPEE-10348.

— cuasiobjeto
fuente

Mismo problema aquí en 1.14.2.4

— kmdsax

Gracias @kmdsax. También envié un ticket y espero recibir una confirmación del soporte.

— cuasiobject

¿Has intentado replicar el mismo error en la versión 1.9.2.4 CE?

— Icono

1

@Icono que no tengo. Trabajo para un solo comerciante y somos EE. Sin embargo, no creo que se vea afectado ya que es un bloque de script de tarjeta de regalo EE. Eso no debería existir en CE.

— cuasiobject

4

Cuando vaya a Magento Connect, y luego cuando haga clic en "Volver a Admin" en la esquina superior derecha de la página. Al regresar al panel de administración, aparece un mensaje de error.

mensaje de error rojo : "Clave secreta no válida. Actualice la página".

Una vez que actualiza la página, se va.

Actualizado: 15 de septiembre de 2017

Si inicia sesión en el administrador de Magento, digamos Panel de control. Sin cerrar sesión en el panel del Panel de control, vaya y abra otra ventana del navegador en el mismo navegador y vaya a example.com/admin, iniciará sesión automáticamente y mostrará exactamente el mismo mensaje

mensaje de error rojo : "Clave secreta no válida. Actualice la página".

Hasta ahora es el único problema que he encontrado. Ni siquiera estoy seguro de si es un problema sólido ya que el mensaje desaparece después de la actualización.

— Icono
fuente

Tal vez esto viene de cerrar Magento Connect: magento.com/blog/magento-news/…

— Kevin Krieger

1

@KalvinKlien También estoy en 1.7.0.2. Veo este mensaje cada vez que recibo una y otra vez entre admin y Magneto Connect (/ descargador). Solo estoy tratando de averiguar si otros también lo ven. No parece ser un problema importante.

— Icono

3

Estoy viendo esto en 1.9.2.1 también. Alguien ya ha presentado un informe de error en el rastreador de errores de Magento .

— Michael Thessel

1

Es un error en Mage_Adminhtml_Controller_Action :: preDispatch (): if ($_keyErrorMsg != '') { Mage::getSingleton('adminhtml/session')->addError($_keyErrorMsg); };debería serif (!$_isValidFormKey){ Mage::getSingleton('adminhtml/session')->addError($_keyErrorMsg); };

— Laura

1

hmmmm, esta es una solución parcial hasta ahora. Todavía veo el error de vez en cuando, no estoy seguro de si hay otro controlador que tenga este problema

— Kalvin Klien el

4

Le pregunté al Soporte de Magento sobre el siguiente problema

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Me respondieron esta mañana y lanzaron un nuevo parche PATCH_SUPEE-10348 .

Magento acaba de resolver el problema haciendo una reversión en este archivo.

Índice: app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
================================================== =================
--- app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
+++ app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
@@ -35,6 +35,7 @@
             if (elementos [i] .name == 'pago [método]'
                 || elementos [i] .name == 'pago [use_customer_balance]'
                 || elementos [i] .name == 'pago [use_reward_points]'
+ || elementos [i] .name == 'form_key'
             ) {
                 methodName = elements [i] .value;
                 if ((free && methodName == 'free') || (! free && methodName! = 'free')) {

— cghisi
fuente

1

Puede confirmar que este parche está disponible en el portal de socios.

— Luke Rodgers

Gracias por la información. Me olvidé de dar esa información

— cghisi

3

Encontré un problema con las plantillas de correo electrónico, CSS personalizado y modman. Si, por ejemplo, tiene un tema basado rwd/default, tiene una costumbre skin/frontend/package/theme/css/email-inline.cssy sus archivos de máscara se incluyen a través de modman a través de un enlace simbólico, el CSS no se agregará a la plantilla de correo después de aplicar SUPEE-10266. El problema es que en Mage_Core_Model_Email_Template_Abstract::_getCssFileContent, se han introducido algunos controles:

                 '_theme' => $theme,
             )
         );
+        $filePath = realpath($filePath);
+        $positionSkinDirectory = strpos($filePath, Mage::getBaseDir('skin'));
+        $validator = new Zend_Validate_File_Extension('css');

-        if (is_readable($filePath)) {
+        if ($validator->isValid($filePath) && $positionSkinDirectory !== false && is_readable($filePath)) {
             return (string) file_get_contents($filePath);
         }

Lo resolví con un truco sucio con una app/code/local/Mage/Core/Model/Email/Template/Abstract.phpanulación por el momento. Tuve que debilitar la verificación, para que sea posible cargar el archivo CSS desde el directorio modman:

$filePath = realpath($filePath);
$baseDirectory = Mage::getBaseDir();
$fullSkinDirectory = Mage::getBaseDir('skin');
$relativeSkinDirectory = substr($fullSkinDirectory, strlen($baseDirectory));
$positionSkinDirectory = strpos($filePath, $relativeSkinDirectory);
$validator = new Zend_Validate_File_Extension('css');
$noDirectoryTraversal = strpos($filename, '..') === false;

if ($validator->isValid($filePath) && $positionSkinDirectory !== false && $noDirectoryTraversal
    && is_readable($filePath)) {
    return (string) file_get_contents($filePath);
}

Ya no verificará si la ruta incluye el directorio completo de máscaras, pero solo verificará si la ruta contiene la cadena /skiny si no incluye .., lo que debería evitar ataques transversales de directorio.

— Simon
fuente

1

Borré mi respuesta ya que la tuya es más completa. El truco que utilicé fue verificar if (strpos($filename, '..') === false) { $positionSkinDirectory = 1; }la fila después de que $positionSkinDirectoryse configuró originalmente. Esto debería ayudar a evitar el recorrido del directorio.

— Peter O'Callaghan

Quiero señalar que debilitar en este caso significa

— volverlo

@ PeterO'Callaghan buena idea! Acabo de agregar su cheque a mi código de respuesta.

— Simon

@Flyingmana esto debería reducir el riesgo dramáticamente.

— Simon

2

Aquí está la lista completa de parches afectados por el autocomplete="new-pawwsord"error tipográfico:

CE 1.7.0.0-1.7.0.2      PATCH_SUPEE-10266_CE_1.7.0.2_v1-2017-09-13-06-27-12.sh:664
CE 1.8.0.0-1.8.1.0      PATCH_SUPEE-10266_CE_1.8.1.0_v1-2017-09-13-06-28-08.sh:665
CE 1.9.0.0-1.9.0.1      PATCH_SUPEE-10266_CE_1.9.0.1_v1-2017-09-13-06-31-01.sh:665
CE 1.9.1.0              PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh:733
CE 1.9.1.1              PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh:734
CE 1.9.2.0-1.9.2.4      PATCH_SUPEE-10266_CE_1.9.2.4_v1-2017-09-13-06-37-37.sh:694
CE 1.9.3.0-1.9.3.2      PATCH_SUPEE-10266_CE_1.9.3.2_v1-2017-09-13-06-38-58.sh:694
CE 1.9.3.3-1.9.3.4      PATCH_SUPEE-10266_CE_1.9.3.4_v1-2017-09-13-06-39-58.sh:694
EE 1.12.0.0             PATCH_SUPEE-10266_EE_1.12.0.0_v1-2017-09-13-08-09-14.sh:696
EE 1.12.0.1-1.12.0.2    PATCH_SUPEE-10266_EE_1.12.0.2_v1-2017-09-13-08-06-57.sh:696
EE 1.13.0.0-1.13.1.0    PATCH_SUPEE-10266_EE_1.13.1.0_v1-2017-09-13-08-04-05.sh:696
EE 1.14.0.0-1.14.0.1    PATCH_SUPEE-10266_EE_1.14.0.1_v1-2017-09-13-08-01-04.sh:696
EE 1.14.1.0             PATCH_SUPEE-10266_EE_1.14.1.0_v1-2017-09-13-07-57-59.sh:764
EE 1.14.2.0             PATCH_SUPEE-10266_EE_1.14.2.0_v1-2017-09-13-07-07-14.sh:764
EE 1.14.2.1-1.14.2.4    PATCH_SUPEE-10266_EE_1.14.2.4_v1-2017-09-13-06-57-21.sh:726
EE 1.14.3.0-1.14.3.2    PATCH_SUPEE-10266_EE_1.14.3.2_v1-2017-09-13-06-53-35.sh:716
EE 1.14.3.3-1.14.3.4    PATCH_SUPEE-10266_EE_1.14.3.3_v1-2017-09-13-06-51-06.sh:716

— Richard Feraro
fuente

0

En Magento 1.8.1 me encontré con problemas con los siguientes archivos:

app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/etc/config.xml
app/locale/en_US/Mage_Adminhtml.csv

Terminé descargando la última versión de Magento que NO contiene el parche. En este caso Magento 1.9.3.4 .

Reemplazar los archivos 'corruptos' con el de la descarga solucionó el problema. Pude aplicar el parche con éxito.

Pero tenga cuidado: sugiero revertir los 3 archivos después de parchear nuevamente y editar los archivos manualmente.

— Stefan
fuente