pikusov / simpla Goto Github PK

Simpla CMS не устанавливается на PHP7, не работает шаг с базой данных.

Здраствуйте, на Вашем месте я б реализовал категории по алгоритму NestedSets

Демо‐сайт не работает после того, как два раза был сделан запрос DROP DATABASE. Сайт восстанавливается, а БД — нет. После первого запроса поменялись данные доступа к БД.

Первая атака:
Логин: u_demoNu
Пароль: aomnIJwQ
БД: demoNu

Вторая атака:
Логин: u_simpla1
Пароль: Rpd9qb5X
БД: simpla1

Если вставить HTML‐тег в имя пользователя, будет отображён результат (только для самого пользователя, у менеджеров исправлено), например:
<b>example</b>
превращается в
example.
Скрипты работают.
Таким образом, можно попросить другого войти под этой учётной записью и выполнить скрипт. Это — XSS.

Не могу понять, на месяц тестовые лицензии или на две недели. Первый вариант выдаётся генератором тестовых лицензий, а второй — в лицензионном соглашении.

Сам пункт выглядит неоднозначно:

Соглашение дает Пользователю право использовать Продукт в рамках одного сайта (интернет-магазина), который работает в пределах одного полного доменного имени на протяжении двух недель с момента вступления в силу Соглашения.

Также, тестовые лицензии не попадают в базу данных simplacms.ru и считаются недействительными.

https://github.com/pikusov/Simpla/blob/master/simpla/cml/1c_exchange.php#L141

непонятно, почему total_price нельзя было выше задать, скажем в строке 60, и не понятно зачем нужен LIMIT, если указан id заказа..?

Пропущен указатель на объект $this в подготовке сообщения об ошибке
https://github.com/pikusov/Simpla/blob/master/api/Database.php#L51

Jare Typograph на данных момент находится в общественном достоянии, а ссылка на EULA больше не работает. Исправьте лицензию в файлах.

Скрипт использует библиотеку HighCharts.

Если я не ошибаюсь, её лицензия запрещает коммерческое использование.

Не могу получить тестовую лицензию на луковый сервис третьей версии (лицензия недействительна).

It appears that recent scam messages on Trisquel GNU/Linux distribution were sent from either demo.simplacms.ru or demo.simplacommerce.com. This repository appears to be related to these websites.

As Simpla CMS is not updated anymore, we recommend shutting these websites down as soon as possible.

Проверка лицензии повторяется три раза в front end, back end и LicenseAdmin. Лучше создать где-то файл с функцией проверки лицензии, а в остальных файлах использовать эту функцию.

Похоже, что демонстрационный сайт используется спамерами для атак на сайты свободного программного обеспечения с подменой адреса отправителя с помощью загрузки скрипта через файловый менеджер.

Среди известных мне сайтов на вашем сервере (nvs406.mirohost.net) есть неисправные:

• http://premium.net.ua/ (не работает ничего, кроме генератора ключей на старую версию Simpla)
• http://internet-magazin.net/ (старый сайт, есть проблемы из-за неработоспособности первого)

Также, сайт http://simplacommerce.com/ пострадал от взлома около месяца назад — кнопка покупки перенаправляет на генератор лицензий, кнопка загрузки не показывает соглашение, а демо-сайт не работает. Сайт http://simp.la/ — зеркало, поэтому имеет те же проблемы. На http://simpla.cz/ также не работает демо-сайт.

mail('[email protected]', 'uniteller', print_r($_POST, true));

Неужели автору надоело его детище? В чем проблема, кто-нибудь знает?

Обнаружена критическая уязвимость. Через файловый менеджер можно загрузить файл PHP и запустить его. Для демонстрации был удалён демо‐сайт, посмотрим, поднимется ли он. Если да, будем экспериментировать дальше. Если нет — чините сайт!

1. Загрузите файл example.php
2. Зайдите на /files/uploads/example.php и код будет исполнен.

В стандартном конфиге присутствует следующая лицензия:

fb9hhjgkcg nmpiqgpjpl mntvuwuyy9 9dc4bbc6 dfggfghmhf qrmrmqmulu uuv1t49546 aeebeicg9i lnigeligoi

Она действительна для домена simpla до 2036-12-05. Забыли удалить?

Скрипт в общественное достояние Вы передали, а он всё равно требует принять условия и ввести ключ.

Pull request сделать не могу — в footer панели управления отличаются копирайты здесь (2014) и в архиве на сайте (2017).

Взломщики пошли дальше. На демонстрационном сайте запустили открытый прокси-сервер.

Например, этот ключ на demo.simplacms.ru и localhost:

dcb9cheafg jklolglmnm tnqrruxrv8 79a7d8dbg9 ffdhlghfme ppqnmkpmqt wwu9v19654 7faa9ehbfa cfdnjloimk nqovspvtwq u834866edg ajbcdldfhe eikqjllsns qsvqw4w6p2 68696adh9g dfjjfjihgl kslkmnlrkp r7t3paza1e a97jdhdlcj dllmihhp lrswssq2p1 rdqa5ba87e fk9g8icigp jjnlfmjsqo nas6v6u8s6 5a2d3iadde 8ghldijmfj mpjnkrpop0 u7s4o7ret8 7ebh8leheg gpbletlpnp oyk5q9n6s5 xcu9yd1b4k 9hdkaohobo cpdokokpnp q7q5u7od wf4a4ccibe 9phqhmands gufto5h6ia ncqdueqcpb blak8o5k8m ilckhljq p9pb

Мне кажется, лучше сделать Симплу свободным ПО, чем ждать, пока она окончательно устареет и перестанет работать на актуальных программах. Лицензии, скорее всего, уже не покупают.

Исправьте, пожалуйста, кодировку в https://github.com/pikusov/Simpla/blob/master/simpla/ajax/export.php, https://github.com/pikusov/Simpla/blob/master/simpla/ajax/export_users.php

Импорт может происходить и по https, а может даже и ftp, маловероятно конечно, но всякое бывает
Можно просто проверять ://

Ссылка на строку, где это проверяется

День добрый. Сегодня обнаружил, что картинки "магически" не подгружаются больше. Гугл ответил на ручной запрос {"responseData": null, "responseDetails": "This API is no longer available.", "responseStatus": 403}. Я так понимаю гугл закрыл лавочку. Есть другие решения?

Если убрать disabled="" на флажке, возможно выбрать единственного менеджера и удалить его, закрыв себе доступ.

На demo.simplacms.ru не работает GroupAdmin.

В сети начал распостраняться кейген для Simpla CMS. К сожалению, в основном им пользуются мошенники, которые теперь продают ненастоящие лицензии.

Для нового алгоритма рекомендую создать два криптографических ключа (один для тестовых лицензий, один для купленных). В код Simpla вы записываете оба публичных ключа. После этого подписываете лицензируемый домен своим секретным ключом и отправляете результат пользователю. Если лицензионный ключ на один домен, можно отправлять только подпись и проверять, действительна ли она для текущего домена.

В первой версии Simpla вы допустили ошибки: отправляли пользователю секретный ключ (e подобрать несложно), шифровали отдельно каждый байт и использовали короткие ключи.

Два ключа нужно создавать для того, чтобы если взломают сайт генерации тестовых лицензий и украдут ключ, было невозможно создать фальшивые ключи для продажи.

При наличии доступа в Интернет, лучше просто сделать запрос на проверку лицензии на вашем сайте.

А можно просто удалить эту проверку и ограничиться предупреждением в лицензионном соглашении, а через две недели спросить, есть ли лицензия.

На форуме жалуются, что не могут продлить лицензию, хотя всегда это было возможно.

Практически во всех разделах при добавлении новой позиции вылетает Warning, т.к. присвоение параметров объектам начинается до инициализации объектов, вернее инициализации объектов просто нет, что странно!

Например:
https://github.com/pikusov/Simpla/blob/master/simpla/BrandAdmin.php#L17
https://github.com/pikusov/Simpla/blob/master/simpla/CategoryAdmin.php#L17
https://github.com/pikusov/Simpla/blob/master/simpla/DeliveryAdmin.php#L11

simpla/ThemeAdmin.php:96
$dts -> $dst

During the order submission parameter orderNumber is not passed but is expected to be recieved by callback.

See Yandex.Money API for reference.