Каталог, Поиск, Фильтрация / Дополнения MODX / modstore.pro
miniShop2
Самый гибкий и быстрый компонент интернет-магазина для MODX Revolution
FacetSearch
FacetSearch — быстрый фасетный поиск с сервисом facetsearch.ru
mSearch3
Морфологический поиск и фильтрация данных
cityFields
Компонент реализует на сайте мультигородность без контекстов
LastModified
MODX Revolution плагин возвращающий Last-Modified и 304 код ответ при необходимости.
plCustomMenu
Компонент для создания кастомного меню
msPre
Массовое редактирование и фильтрация товаров и ресурсов
SEOtabs
Пакет для работы со вкладками товаров.
Табы для вашего SEO.
SeoFilter
Удобное управление ЧПУ, мета-тегами и генерация текстов
PageSpeed
Интеграция оптимизаций PageSpeed Insights для MODX Revolution
SEOSuite
SЕО Suite автоматически перенаправляет битые ссылки (код 404) на подходящие страницы
msProductRemains
msProductsComposerSelection
Привязка условий поиска\фильтрации товаров к ресурсу
xLike
Идеальная система лайков
msProductKits
Управление товаром, представляющим собой набор(комплект) других товаров.
msRevaluation
Проведение переоценки товаров для MODX с гибкими настройками.
PrettyTags
Компонент для удобного управления тегами на сайте.
msFavorites
Создание списков избранного
SelectFilters
Выбор опций для вывода в mFilter2
DoubleCheck
Компонент проверки товаров на дубли и исправления дубликатов
msOptionsPrice2
Доп. цены к товару с различными характеристиками и учет остатков
msSetInCart
Компонент реализует функционал покупки комплектов товаров в Minishop2
PayAndSee
Компонент реализует закрытые ресурсы на MODx.
msCategoryOptions
функционал дополнительных опций в зависимости от категории товара
PopupContent
Всплывающий контент: изображения и html-контент
msReference
Автоматическое формирование списков рекомендованных товаров
mCataloger
Каталогизатор для удобной работы с папками и файлами в MODx
ReachGoal
Управление целями (Яндекс, Google) через админку
ymLocation
Определение местоположения посетителя сайта
Comparison
Компонент для сравнения товаров
QuickView
modTree
Связь ресурсов друг с другом.
mseRedirect
Редиректы для запросов mSearch3
msInstashop
Импортирует фотографии из Instagram с привязкой товаров из minishop
msSortFields
Поля сортировки товаров для категорий
userMarker
Добавление меток и тегов к ресурсам
modAlertify
Уведомления AlertifyJS, Notify, Overhang, Noty или Toastr
msOptionSeller
Опция «Магазин» для miniShop2 по аналогии с «Производитель»
Okved2
Общероссийский классификатор видов экономической деятельности (ОКВЭД 2)
msPNnotify
Заменяет уведомления Jgrowl на PNotify для minishop2
Как убрать открытый доступ к каталогу ядра MODX? – Вопросы Timeweb Community
Коробов Дмитрий Владимирович9495
5 ответов
Modx каталог ядра в открытом доступе, как убрать этот открытый доступ? Сайт на modx 2.
5.2.
Дело в том, что через .htaccess не заблокировать, т.к. modx проверяет доступность ядра через changelog.txt, что лежит в папке core.
Можно вынести эту папку за пределы public_html, но это уже танцы с бубном и, насколько я понимаю, за пределы public_html мне не выйти. В бесплатных CMS есть modx, неужели не предусмотрено способа пофиксить открытость каталога?
Путем добавления в .htaccess не работает, все так же выдается сообщение о открытости каталога.
IndexIgnore */*
<Files *.*>
Order Deny,Allow
Deny from all
</Files>Apache Безопасность MODX
Похожие вопросы
Van Lodibito513
Ошибка кодировки на сервере
Сайт написан на python на нем происходит обработка pdf файлов и проблема заключаеться в использование сервером ascii таблици, как стандартную кодировку файлов и код для проверки этого выдает:
getlocale: (None, None)
getdefaultlocale(): (None, None)
fs_encoding:.
Разработка
1 ответ Николай727
Кастомные заголовки для .js файлов через .htaccess
Администрирование
Обсудить Vladimir Panchenko546
Оптимизировать сайт на Modx
Добрый всем день!
Прошу помощи в оптимизации сайта на MODX Revolution 2.
Администрирование
1 ответПутеводители Боба | Список процессоров MODX
Элемент контекста браузера Поиск ресурсов Исходная система безопасности Рабочая областьБраузер
браузер/каталог/chmod
браузер/каталог/создать
браузер/каталог/getfiles
браузер/каталог/getlist
браузер/каталог/удалить
браузер/каталог /переименовать
браузер/каталог/ sort
браузер/каталог/обновление
браузер/файл/создать
браузер/файл/загрузка
браузер/файл/получить
браузер/файл/удалить
браузер/файл/переименовать
браузер/файл/распаковать
браузер/файл/обновить
браузер/файл/загрузить
Наверх
контекст
контекст/создать
контекст/дублировать
контекст/получить
контекст/получить список
контекст/удалить
контекст/настройка/создать
контекст/настройка/ получить
контекст/настройка/getlist
контекст/настройка/удаление
контекст/настройка/обновление
контекст/настройка/обновление из сетки
контекст/обновление
контекст/обновление из сетки
Наверх
Элемент
категория/создать
категория/получить
категория/получить список
категория/удалить
категория/обновить
фрагмент/создать
фрагмент/дубликат 9 0005
чанк/получить
чанк/getlist
чанк /удалить
фрагмент/обновить
создать
дубликат
exportproperties
get
getclasses
getinsertproperties
getlist
getlistbyclass
getnodes 90 005
importproperties
плагин/активировать
плагин/создать
плагин/деактивировать
плагин/дубликат
плагин /event/associate
plugin/event/get
plugin/event/getassoc
plugin/event/getlist
plugin/event/remove
плагин/событие/обновление
плагин/событие/обновление из сетки
плагин/получить
плагин/список получения
плагин/удалить
плагин/обновление
набор свойств/дополнение
набор свойств/ассоциация
набор свойств/создание
PropertySet/Duplicate
PropertySet/GET
PropertySet/GETLIST
PropertySet/GETNODES
СВЕДЕНИЯ/GETPROPERTIES
SPORTYSEST/Удалить
SPOPERTSET/RESTELEMENT
набор свойств/обновление
набор свойств/обновление элемента
удаление
фрагмент/создание
фрагмент/дублирование
фрагмент/получение
фрагмент/getlist
фрагмент/удаление
фрагмент/обновление
сортировка
шаблон/ создать
шаблон/дублировать
шаблон/получить
шаблон/getlist
шаблон/удалить
шаблон/tv/getlist
шаблон/tv/updatefromgrid
шаблон/обновление
тв/создать
тв/дубликат
тв/получить
тв/getlist
тв/удалить
тв/рендеры/getin putproperties
тв/рендеры/getinputs
тв/рендеры/ getoutputs
tv/renders/getproperties
tv/renders/mgr/input/autotag
tv/renders/mgr/input/checkbox
tv/renders/mgr/input/date
ТВ/рендеры/mgr/ввод /email
ТВ/рендеры/мгр/ввод/файл
tv/renders/mgr/input/hidden
tv/renders/mgr/input/image
tv/renders/mgr/input/list-multiple-legacy
tv/renders/mgr/input/listbox
900 04 тв /renders/mgr/input/listbox-multipletv/renders/mgr/input/number
tv/renders/mgr/input/option
tv/renders/mgr/input/resourcelist
tv/renders/ магистр /input/richtext
tv/renders/mgr/input/tag
tv/renders/mgr/input/text
tv/renders/mgr/input/textarea
tv/renders/mgr/input/url
tv/renders/mgr/inputproperties/autotag
tv/renders/mgr/inputproperties/checkbox
tv/renders/mgr/inputproperties/date 90 005
тв/рендеры/ mgr/inputproperties/default
tv/renders/mgr/inputproperties/email
tv/renders/mgr/inputproperties/file
tv/renders/mgr/inputproperties/image
tv/renders/m gr/inputproperties/список- multi-legacy
tv/renders/mgr/inputproperties/listbox
tv/renders/mgr/inputproperties/listbox-multiple
tv/renders/mgr/inputproperties/number
tv/renders/mgr/inputproperties/option
tv/renders/mgr/inputpro perties/список ресурсов
тв/ renders/mgr/inputproperties/richtext
tv/renders/mgr/inputproperties/tag
tv/renders/mgr/inputproperties/text
tv/renders/mgr/inputproperties/textarea
tv/ оказывает/mgr/inputproperties/ url
тв/рендеры/мгр/свойства/дата
tv/renders/mgr/properties/default
tv/renders/mgr/properties/delim
tv/renders/mgr/properties/htmltag
tv/renders/mgr/properties/image
9 0004 тв/рендеры/ mgr/properties/richtexttv/renders/mgr/properties/string
tv/renders/mgr/properties/url
tv/renders/web/output/date
tv/renders/web/output/default 90 005
tv/renders/web/output/delim
tv/renders/web/output/htmltag
tv/renders/web/output/image
tv/renders/web/output/richtext
tv/renders/web/output/string
tv/renders/web/output/text
tv/renders/web/output/url
tv/re исходная группа/ getlist
tv/template/getlist
tv/template/updatefromgrid
tv/update
update
Наверх
Ресурс
Ресурс/создать
Ресурс/данные
Ресурс/удалить
Ресурс/дубликат
Ресурс/пустая корзина
ресурс/событие/getlist
ресурс/событие/updatefromgrid
ресурс/get
ресурс/getlist
ресурс/getnodes
ресурс/gettoolbar
ресурс/замки/ разблокировать
ресурсы/замки/украсть
ресурс/публикация
ресурс/перезагрузка
ресурс/группа ресурсов/getlist
ресурс/группа ресурсов/updatefromgrid
ресурс/поиск
ресурс/сортировка
ресурс/транслит
ресурс/корзина/getlist
ресурс/корзина/очистка
ресурс/корзина/восстановление
ресурс/восстановить
ресурс/отменить публикацию
ресурс/обновление
ресурс/обновление из сети
Наверх
Поиск
поиск/поиск
Наверх
Security
security/access/addacl
security/access/flush
security/access/getacl
security/access/getlist
security/access/getnodes
security/access/permission/getlist
security/access/policy/create
security/access/policy/createpolicydata
security/access/policy/duplicate
9000 4 безопасность/доступ/политика /exportsecurity/access/policy/getlist
security/access/policy/import
security/access/policy/remove
security/access/policy/removemultiple
security/access/policy/removepolicydata
безопасность/доступ/политика/шаблон/создание
безопасность/доступ/политика/шаблон/дубликат
безопасность/доступ/политика/шаблон/экспорт
безопасность/доступ/политика/шаблон/список
безопасность/доступ/ policy/template/group/getlist
security/access/policy/template/import
security/access/policy/template/remove
security/access/policy/template/removemultiple
security/access/policy/template/ обновление
безопасность/доступ/политика/шаблон/обновление из сетки
security/access/policy/update
security/access/policy/updatefromgrid
security/access/policy/updatepolicydata
security/access/removeacl
security/access/updateacl
90 004 безопасность/доступ/группа пользователей/категория /createбезопасность/доступ/группа пользователей/категория/getlist
безопасность/доступ/группа пользователей/категория/удаление
безопасность/доступ/группа пользователей/категория/обновление
безопасность/доступ/группа пользователей/контекст/создать
безопасность/доступ/группа пользователей/контекст/getlist
безопасность/доступ/группа пользователей/контекст/удаление
безопасность/доступ/группа пользователей/контекст/обновление
безопасность/доступ/группа пользователей/пространство имен/создание
безопасность/доступ/группа пользователей /namespace/getlist
security/access/usergroup/namespace/remove
security/access/usergroup/namespace/update
security/access/usergroup/resourcegroup/create
security/access/usergroup/resourcegroup/getlist
security/access/usergroup/resourcegroup/remove
security/access/usergroup/resourcegroup/update
security/access/usergroup/source/create
security/access/usergroup/source/getlist
security/access/ usergroup/source/remove
security/access/usergroup/source/update
security/documentgroup/create
security/documentgroup/getnodes
security/documentgroup/getpairingnodes
security/documentgroup/remove
безопасность/группа документов/удаленный документ
безопасность/группа документов/обновление
безопасность/группа документов/обновлениедокументов
безопасность/сброс
безопасность/формы/профиль/активировать
безопасность/ формы/профиль/activatemultiple
безопасность/формы/ profile/create
security/forms/profile/deactivate
security/forms/profile/deactivatemultiple
security/forms/profile/duplicate
security/forms/profile/getlist
безопасность/формы/профиль/удалить
безопасность/формы/профиль/удалить несколько
безопасность/формы/профиль/обновление
безопасность/формы/профиль/обновление из сетки
безопасность/формы/правило/активировать 9000 5
ценные бумаги/бланки /rule/activatemultiple
security/forms/rule/create
security/forms/rule/deactivate
security/forms/rule/deactivatemultiple
security/forms/rule/duplicate
security/forms/rule /получить список
security/forms/rule/gettypelist
security/forms/rule/remove
security/forms/rule/removemultiple
security/forms/rule/update
security/forms/rule/updatefromgrid
900 04 безопасность/бланки/ set/activatesecurity/forms/set/activatemultiple
security/forms/set/create
security/forms/set/deactivate
security/forms/set/deactivatemultiple
security/forms/set/duplicate 900 05
безопасность/формы/набор/экспорт
security/forms/set/getlist
security/forms/set/import
security/forms/set/remove
security/forms/set/removemultiple
security/forms/set/update
security /группа /adduser
безопасность/группа/создать
безопасность/группа/получить
безопасность/группа/getlist
безопасность/группа/getnodes
безопасность/группа/удалить
безопасность/группа/удалить пользователя
безопасность/группа/ установка/создание
безопасность/группа/настройка/getlist
безопасность/группа/настройка/удаление
безопасность/группа/настройка/обновление
безопасность/группа/настройка/обновление из сетки
безопасность/группа/сортировка
безопасность/группа/обновление
безопасность/группа/пользователь/создать
безопасность/группа/пользователь/getlist
безопасность/группа/пользователь/удалить
безопасность/группа/пользователь/обновление
безопасность/логин
безопасность/выход из системы
безопасность/мес мудрец /создать
безопасность/сообщение/getlist
безопасность/сообщение/чтение
безопасность/сообщение/удаление
безопасность/сообщение/непрочитанное
безопасность/профиль/изменение пароля
безопасность/профиль/получение
9000 4 безопасность/профиль/обновлениеsecurity/resourcegroup/create
security/resourcegroup/getlist
security/resourcegroup/getnodes
security/resourcegroup/remove
security/resourcegroup/removeresource
security/resourcegroup/update
security/resourcegroup/updateresourcesin
security/role/create
security/role/get
security/role/getauthoritylist
security/role/getlist
security/role/remove 9 0005
безопасность/роль/обновление
security/role/updatefromgrid
security/user/_validation
security/user/activatemultiple
security/user/create
security/user/deactivatemultiple
security/user/delete
security/user/duplicate
security/user/get
security/user/getlist
security/user/getonline
security/user/getrecenteditedresources
security/user/group/getlist
безопасность/пользователь/ removemultiple
безопасность/пользователь/настройка/создание
безопасность/пользователь/настройка/getlist
безопасность/пользователь/настройка/удаление
безопасность/пользователь/настройка/обновление
безопасность/пользователь/настройка/обновление из сетки
безопасность/пользователь/обновление
безопасность/пользователь/обновление из сетки
Наверх
Source
source/create
source/duplicate
source/getlist
source/remove
source/removemultiple
source/type/getlist
9000 4 источник/обновлениеисточник/обновление из сетки
Наверх
Система
система/действие/создать
система/действие/получить
система/действие/список
system/action/getnodes
system/action/remove
system/action/sort
system/action/update
system/actionlist.
inc
system/activeresource/getlist
900 04 система/набор символов/списокsystem/classmap/getlist
system/clearcache
system/config.js
system/config_check.inc
system/console
system/contenttype/create
system/contenttype/ getlist
система/тип контента/ удалить
system/contenttype/update
system/contenttype/updatefromgrid
system/country/getlist
system/dashboard/create
system/dashboard/duplicate
system/dashboard/getlist 9 0005
система/приборная панель/удалить
система/приборная панель/удалить несколько
система/приборная панель/обновление
система/приборная панель/обновление из сетки
система/приборная панель/виджет/создать
система/приборная панель/виджет/канал
система /dashboard/виджет/getlist
система/приборная панель/виджет/удалить
система/приборная панель/виджет/удалить несколько
система/приборная панель/виджет/обновление
система/база данных/дефрагментация индексов.
getlist
система/база данных /optimize
system/databasetable/optimizeddatabase
system/databasetable/truncate
system/derivatives/getlist
system/downloadoutput
system/errorlog/clear
system/errorlog /скачать
system/errorlog/get
system/event/create
system/event/getlist
system/event/grouplist
system/event/remove
system/import/html
900 04 система/импорт/индексsystem/info
system/language/getlist
system/log/getlist
system/log/truncate
system/menu/create
system/menu/get
system/menu/getlist
система/ меню/getmenu
система/меню/getnodes
система/меню/удалить
система/меню/сортировка
система/меню/обновление
система/phpinfo
система/phpthumb
система/обновление
система /реестр/регистр/чтение
система/реестр /register/send
system/remove_locks
system/rte/getlist
system/settings/create
system/settings/getareas
system/settings/getlist
system/settings/remo ve
система/настройки/ обновление
система/настройки/обновление из сетки
Наверх
Workspace
workspace/create
workspace/disable
workspace/getlist
workspace/lexicon/create
workspace/lexicon/getlist
workspace/lexicon/reload frombase
рабочая область/лексикон/возврат
рабочая область/лексикон /topic/getlist
рабочее пространство/lexicon/updatefromgrid
рабочее пространство/пространство имен/создать
рабочее пространство/пространство имен/getlist
рабочее пространство/пространство имен/удаление
рабочее пространство/пространство имен/removemultiple
рабочее пространство/пространство имен/обновление
рабочее пространство/пространство имен/обновление из сетки
рабочее пространство/пакеты/зависимость/загрузка
рабочая область/пакеты/получить
рабочая область/пакеты/ getattribute
рабочее пространство/пакеты/getdependencies
рабочее пространство/пакеты/getlist
рабочее пространство/пакеты/установить
рабочее пространство/пакеты/очистить
рабочее пространство/пакеты/удалить
рабочее пространство/пакеты/отдых/загрузка
рабочее пространство/пакеты/отдых/getinfo
рабочее пространство/пакеты/отдых/getlist
рабочее пространство/пакеты/отдых/getnodes
рабочее пространство/пакеты/scanlocal
рабочая область/пакеты/удаление
рабочее пространство/пакеты/обновление
рабочее пространство/пакеты/удаленное обновление
рабочее пространство/пакеты/обновление из сетки
рабочее пространство/пакеты/загрузка
рабочее пространство/пакеты/версия/getlist
работа пробел/пакеты/версия/удалить
рабочая область/пакеты/просмотр
рабочая область/поставщики/создать
рабочая область/поставщики/получить
рабочая область/поставщики/getlist
рабочая область/поставщики/удалить
рабочая область/поставщики/вверх дата
рабочая область/поставщики/updatefromgrid
рабочая область/поставщики/проверка
рабочая область/удаление
рабочая область/тема/список
рабочая область/обновление
рабочая область/представление
Вернуться к началу
Modx Modx Revolution : Список уязвимостей безопасности
Результаты копирования Скачать результаты
Нажмите ESC, чтобы закрыть
| # | CVE-идентификатор | Идентификатор CWE | # эксплойтов | Тип(ы) уязвимости | Дата публикации | Дата обновления | Счет | Получен уровень доступа | Доступ | Сложность | Аутентификация | конф. | Интегр. | Доступно. | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | CVE-2020-25911 | 611 | DoS | 31.10.2021 | 2021-11-02 | 6,4 | Нет | Дистанционный | низкий | Не требуется | Частично | Нет | Частично | ||||||
| В компоненте modRestServiceRequest в MODX CMS 2.7.3 была обнаружена уязвимость XML External Entity (XXE), которая может привести к раскрытию информации или отказу в обслуживании (DOS). | |||||||||||||||||||
| 2 | CVE-2019-1010123 | 434 | 23.07.2019 | 09.10.2019 | 5,0 | Нет | Дистанционный | Низкий | Не требуется | Нет | Частично | Нет | |||||||
На MODX Revolution Gallery 1. 7.0 влияют: CWE-434: Неограниченная загрузка файлов с опасным типом. Результат: создание файла с произвольным именем и содержимым. Компонент: Фильтрация пользовательских параметров перед их передачей в класс phpthumb. Вектор атаки: веб-запрос через /assets/components/gallery/connector.php. | |||||||||||||||||||
| 3 | CVE-2018-1000208 | 22 | Реж. Трав. | 13.07.2018 | 07.09.2018 | 6,4 | Нет | Дистанционный | Низкий | Не требуется | Нет | Частично | Частично | ||||||
Версия MODX Revolution <= 2.6.4 содержит уязвимость обхода каталога в /core/model/modx/modmanagerrequest.class.php, которая может привести к удалению файлов. Эта атака, по-видимому, может быть использована через веб-запрос через процессор безопасности/логина. Эта уязвимость, по-видимому, была исправлена в pull 13980. | |||||||||||||||||||
| 4 | CVE-2018-1000207 | 732 | 13.07.2018 | 03.10.2019 | 6,5 | Нет | Дистанционный | Низкий | ??? | Частично | Частично | Частично | |||||||
| Версия MODX Revolution <= 2.6.4 содержит уязвимость неправильного контроля доступа при фильтрации пользовательских параметров перед их передачей в класс phpthumb, что может привести к созданию файла с произвольным именем файла и содержимым. Эта атака может быть использована через веб-запрос. Эта уязвимость, похоже, была исправлена в коммите 06bc9.4257408f6a575de20ddb955aca505ef6e68. | |||||||||||||||||||
| 5 | CVE-2018-20758 | 79 | XSS | 06. 02.2019 | 23.10.2019 | 3,5 | Нет | Дистанционный | Средний | ??? | Нет | Частично | Нет | ||||||
| MODX Revolution до v2.7.0-pl позволяет XSS через пользовательские настройки, такие как описание. | |||||||||||||||||||
| 6 | CVE-2018-20757 | 79 | XSS | 06.02.2019 | 06.02.2019 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
| MODX Revolution до v2.7.0-pl позволяет XSS через расширенное пользовательское поле, такое как имя контейнера или имя атрибута. | |||||||||||||||||||
| 7 | CVE-2018-20756 | 79 | XSS | 06. 02.2019 | 06.02.2019 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
| MODX Revolution до v2.7.0-pl позволяет использовать XSS через ресурс документа (например, заголовок страницы), который неправильно обрабатывается во время действия «Обновить», действия «Быстрое редактирование» или просмотра журналов менеджера. | |||||||||||||||||||
| 8 | CVE-2018-20755 | 79 | XSS | 06.02.2019 | 06.02.2019 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
MODX Revolution до v2. 7.0-pl позволяет использовать XSS через поле «Фото пользователя». | |||||||||||||||||||
| 9 | CVE-2018-17556 | 79 | XSS | 26.09.2018 | 15.11.2018 | 3,5 | Нет | Дистанционный | Средний | ??? | Нет | Частично | Нет | ||||||
| MODX Revolution v2.6.5-pl позволяет сохранять XSS с помощью действия «Создать новый медиа-источник». | |||||||||||||||||||
| 10 | CVE-2018-10382 | 79 | XSS | 01.06.2018 | 27.06.2018 | 3,5 | Нет | Дистанционный | Средний | ??? | Нет | Частично | Нет | ||||||
MODX Revolution 2. 6.3 имеет XSS. | |||||||||||||||||||
| 11 | CVE-2017-1000223 | 79 | XSS | 17.11.2017 | 01.12.2017 | 3,5 | Нет | Дистанционный | Средний | ??? | Нет | Частично | Нет | ||||||
| Уязвимость внедрения сохраненного веб-контента (WCI, также известная как XSS) присутствует в MODX Revolution CMS версии 2.5.6 и более ранних версиях. Аутентифицированный пользователь с разрешениями на редактирование пользователей может сохранить вредоносный код JavaScript в качестве имени группы пользователей и потенциально получить контроль над учетными записями жертв. Это может привести к повышению привилегий, обеспечивающих полный административный контроль над CMS. | |||||||||||||||||||
| 12 | CVE-2017-11744 | 79 | XSS | 30. 07.2017 | 2017-08-02 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
| В MODX Revolution 2.5.7 параметры «ключ» и «имя» в модуле «Системные настройки» уязвимы для XSS. Вредоносная полезная нагрузка, отправленная на connectors/index.php, будет запускаться каждым пользователем при посещении этого модуля. | |||||||||||||||||||
| 13 | CVE-2017-9071 | 79 | XSS | 2017-05-18 | 2017-05-30 | 2,6 | Нет | Дистанционный | Высокий | Не требуется | Нет | Частично | Нет | ||||||
В MODX Revolution до версии 2. 5.7 злоумышленник мог запустить XSS, внедрив полезную нагрузку в заголовок HTTP-узла запроса. Это можно использовать только в сочетании с другими проблемами, такими как отравление кеша. | |||||||||||||||||||
| 14 | CVE-2017-9070 | 79 | XSS | 18.05.2017 | 2017-05-30 | 3,5 | Нет | Дистанционный | Средний | ??? | Нет | Частично | Нет | ||||||
| В MODX Revolution до версии 2.5.7 пользователь с правами на редактирование ресурсов может вставлять полезную нагрузку XSS в заголовок любого сообщения через параметр pagetitle в коннекторах/index.php. | |||||||||||||||||||
| 15 | CVE-2017-9069 | 434 | Исполнительный код | 18.05.2017 | 30 мая 2017 г. | 6,5 | Нет | Дистанционный | Низкий | ??? | Частично | Частично | Частично | ||||||
| В MODX Revolution до версии 2.5.7 пользователь с правами на загрузку файлов мог выполнять произвольный код, загружая файл с именем .htaccess. | |||||||||||||||||||
| 16 | CVE-2017-9068 | 79 | XSS | 18.05.2017 | 2017-05-30 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
В MODX Revolution до версии 2.5.7 злоумышленник может инициировать Reflected XSS, вводя полезные данные в несколько полей на странице настройки, что демонстрируется параметром database_type. | |||||||||||||||||||
| 17 | CVE-2017-9067 | 22 | Реж. Трав. | 18.05.2017 | 31.05.2017 | 4,4 | Нет | Местный | Средний | Не требуется | Частично | Частично | Частично | ||||||
| В MODX Revolution до 2.5.7, когда используется PHP 5.3.3, злоумышленник может включать и выполнять произвольные файлы на веб-сервере из-за недостаточной проверки параметра действия в setup/index.php, также известного как обход каталога. | |||||||||||||||||||
| 18 | CVE-2017-8115 | 22 | Реж. Трав. +Информация | 25.04.2017 | 05.05.2017 | 5,0 | Нет | Дистанционный | Низкий | Не требуется | Частично | Нет | Нет | ||||||
Обход каталога в setup/processors/url_search. php (он же страница поиска неиспользуемого процессора) в MODX Revolution 2.5.7 может позволить удаленным злоумышленникам получить информацию о системном каталоге. | |||||||||||||||||||
| 19 | CVE-2017-7324 | 94 | Исполнительный код | 30.03.2017 | 2020-01-10 | 7,5 | Нет | Дистанционный | Низкий | Не требуется | Частично | Частично | Частично | ||||||
| setup/templates/findcore.php в MODX Revolution 2.5.4-pl и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный PHP-код с помощью параметра core_path. | |||||||||||||||||||
| 20 | CVE-2017-7323 | Исполнительный код | 30.03.2017 | 2020-01-10 | 6,8 | Нет | Дистанционный | Средний | Не требуется | Частично | Частично | Частично | |||||||
Функции (1) обновления и (2) установки пакетов в MODX Revolution 2. 5.4-pl и более ранних версиях по умолчанию используют http://rest.modx.com, что позволяет злоумышленникам-посредникам подделывать серверы и инициировать выполнение произвольного кода, используя отсутствие механизма защиты HTTPS. | |||||||||||||||||||
| 21 | CVE-2017-7322 | 295 | Исполнительный код | 30.03.2017 | 2020-01-10 | 6,8 | Нет | Дистанционный | Средний | Не требуется | Частично | Частично | Частично | ||||||
| Функции (1) обновления и (2) установки пакетов в MODX Revolution 2.5.4-pl и более ранних версиях не проверяют сертификаты X.509 с SSL-серверов, что позволяет злоумышленникам-посредникам подделывать серверы и запускать выполнение произвольного кода через созданный сертификат. | |||||||||||||||||||
| 22 | CVE-2017-7321 | 94 | Исполнительный код | 30. 03.2017 | 2020-01-10 | 7,5 | Нет | Дистанционный | Низкий | Не требуется | Частично | Частично | Частично | ||||||
| setup/controllers/welcome.php в MODX Revolution 2.5.4-pl и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольный код PHP с помощью параметра config_key в URI setup/index.php?action=welcome. | |||||||||||||||||||
| 23 | CVE-2017-7320 | 79 | DoS XSS Http R.Spl. | 30.03.2017 | 2020-01-10 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
setup/controllers/language. php в MODX Revolution 2.5.4-pl и более ранних версиях не ограничивает должным образом языковой параметр, что позволяет удаленным злоумышленникам проводить атаки с использованием файлов cookie и вызывать отказ в обслуживании (исчерпание квоты файлов cookie) или проводить HTTP Ответ Разделение атак с результирующим XSS через недопустимое значение параметра. | |||||||||||||||||||
| 24 | CVE-2016-10039 | 22 | Реж. Трав. Включение файла | 24.12.2016 | 14.11.2019 | 7,5 | Нет | Дистанционный | Низкий | Не требуется | Частично | Частично | Частично | ||||||
Обход каталога в /connectors/index.php в MODX Revolution до версии 2.5.2-pl позволяет удаленным злоумышленникам выполнять включение/обход/манипулирование локальными файлами с помощью созданного параметра dir, связанного с браузером/каталогом/getfiles. | |||||||||||||||||||
| 25 | CVE-2016-10038 | 22 | Реж. Трав. Включение файла | 24.12.2016 | 29.12.2016 | 7,5 | Нет | Дистанционный | Низкий | Не требуется | Частично | Часть | Частично | ||||||
| Обход каталога в /connectors/index.php в MODX Revolution до версии 2.5.2-pl позволяет удаленным злоумышленникам выполнять включение/обход/манипулирование локальными файлами с помощью созданного параметра dir, связанного с браузером/каталогом/удалением. | |||||||||||||||||||
| 26 | CVE-2016-10037 | 22 | Реж. Трав. Включение файла | 24.12.2016 | 14.11.2019 | 7,5 | Нет | Дистанционный | Низкий | Не требуется | Частично | Частично | Частично | ||||||
Обход каталога в /connectors/index. php в MODX Revolution до версии 2.5.2-pl позволяет удаленным злоумышленникам выполнять включение/обход/манипулирование локальными файлами с помощью созданного параметра id (aka dir), связанного с браузером/каталогом/getlist. | |||||||||||||||||||
| 27 | CVE-2015-6588 | 79 | XSS | 29.08.2017 | 2017-09-02 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
| Уязвимость межсайтового скриптинга (XSS) в файле login-fsp.html в MODX Revolution до версии 1.9.1 позволяет удаленным злоумышленникам внедрить произвольный веб-скрипт или HTML через запрос QUERY_STRING. | |||||||||||||||||||
| 28 | CVE-2014-8992 | 79 | XSS | 22. 12.2014 | 22.10.2019 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
| Уязвимость межсайтового скриптинга (XSS) в файле manager/assets/fileapi/FileAPI.flash.image.swf в MODX Revolution 2.3.2-pl позволяет удаленным злоумышленникам внедрить произвольный веб-скрипт или HTML через параметр обратного вызова. | |||||||||||||||||||
| 29 | CVE-2014-8775 | 200 | +Инфо | 03.12.2014 | 22.10.2019 | 5,0 | Нет | Дистанционный | Низкий | Не требуется | Частично | Нет | Нет | ||||||
MODX Revolution 2. x до 2.2.15 не включает флаг HTTPOnly в заголовок Set-Cookie для файла cookie сеанса, что упрощает удаленным злоумышленникам получение потенциально конфиденциальной информации через доступ сценария к этому файлу cookie. | |||||||||||||||||||
| 30 | CVE-2014-8774 | 79 | XSS | 03.12.2014 | 22.10.2019 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
| Уязвимость межсайтового скриптинга (XSS) в файле manager/index.php в MODX Revolution 2.x до 2.2.15 позволяет удаленным злоумышленникам внедрить произвольный веб-скрипт или HTML через параметр context_key. | |||||||||||||||||||
| 31 | CVE-2014-8773 | 352 | Обход CSRF | 03. 12.2014 | 22.10.2019 | 6,8 | Нет | Дистанционный | Средний | Не требуется | Частично | Частично | Частично | ||||||
| MODX Revolution 2.x до 2.2.15 позволяет удаленным злоумышленникам обходить механизм защиты от подделки межсайтовых запросов (CSRF) путем (1) пропуска токена CSRF или с помощью (2) длинной строки в параметре токена CSRF. | |||||||||||||||||||
| 32 | CVE-2014-5451 | 79 | XSS | 06.11.2014 | 2018-10-09 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
Уязвимость межсайтового скриптинга (XSS) в файле manager/templates/default/header. tpl в MODX Revolution 2.3.1-pl и более ранних версиях позволяет удаленным злоумышленникам внедрить произвольный веб-скрипт или HTML через параметр «a» в файл manager/. ПРИМЕЧАНИЕ. Эта проблема возникает из-за регрессии CVE-2014-2080. | |||||||||||||||||||
| 33 | CVE-2014-2736 | 89 | Код выполнения Sql | 24.04.2014 | 22.10.2019 | 7,5 | Нет | Дистанционный | Низкий | Не требуется | Частично | Частично | Частично | ||||||
Множественные уязвимости SQL-инъекций в MODX Revolution до версии 2.2.14 позволяют удаленным злоумышленникам выполнять произвольные SQL-команды через (1) идентификатор сеанса (PHPSESSID) для index.php или удаленным аутентифицированным пользователям выполнять произвольные SQL-команды через (2) пользовательский параметр для Connectors/security/message. php или (3) параметр id в файле manager/index.php. | |||||||||||||||||||
| 34 | CVE-2014-2311 | 89 | Код выполнения Sql | 2014-03-11 | 22.10.2019 | 7,5 | Нет | Дистанционный | Низкий | Не требуется | Частично | Частично | Частично | ||||||
| Уязвимость SQL-инъекции в modx.class.php в MODX Revolution 2.0.0 до 2.2.13 позволяет удаленным злоумышленникам выполнять произвольные команды SQL через неуказанные векторы. | |||||||||||||||||||
| 35 | CVE-2014-2080 | 79 | XSS | 01.03.2014 | 30.07.2015 | 4.3 | Нет | Дистанционный | Средний | Не требуется | Нет | Частично | Нет | ||||||
Уязвимость межсайтового скриптинга (XSS) в файле manager/templates/default/header. | |||||||||||||||||||