База знаний

Все решения
Интернет-магазины
- Аспро: Премьер
- Аспро: Лайтшоп
- Аспро: Максимум
- Аспро: Шины и диски 2.0
- Аспро: Next
- Аспро: Оптимус
- Аспро: Шины и диски, интернет-магазин
- Аспро: Маркет
- Аспро: Интернет-магазин
- Аспро: Крутой шоп
Корпоративные сайты
- Аспро: Приорити 2.0
- Аспро: Корпоративный сайт 3.0
- Аспро: Корпоративный сайт 2.0
- Аспро: Стройка 2.0
- Аспро: Инжиниринг
- Аспро: Металл
- Аспро: Digital 2.0
- Аспро: Детский сад и образовательный центр
- Аспро: Курорт 2.0
- Аспро: Ландшафт 2.0
- Аспро: Автосервис
- Аспро: Медицинский центр 3.0
- Аспро: Ландшафт
- Аспро: Медицинский центр 2.0
- Аспро: Курорт
- Аспро: Стройка
- Аспро: Сайт медицинского центра
- Аспро: Корпорация
- Аспро: Корпоративный сайт
- Аспро: Корпоративный сайт современной компании
- Аспро: Приорити
- Аспро: Digital
Модули
- Аспро: Привязка ответственного
- Аспро: Шинный калькулятор
- Аспро: Кредитный калькулятор
- Аспро: Универсальный импорт
1С-Битрикс
- Общее

Исправление уязвимости unserialise в Аспро: Детский сад и образовательный центр

ID статьи: 450 , создана 06 фев 2025

Актуально для:

уязвимость unserialise

Решение

В решении не было уязвимости, связанной с unserialize, но если проводилась миграция со старого решения Аспро, то проблема может быть актуальной.
Если при миграции не были удалены старые файлы прошлого решения, то необходимо проверить директории на наличие в них unserialize:

/ajax/
/include/
/form/
Затем нужно обезопасить их вызов добавлением второго аргумента ['allowed_classes' => false] когда это необходимо.

Если у вас вместо unserialize используется Solution::unserialize() или CKids::unserialize, то ничего добавлять не нужно. Эти методы уже содержат правку. То есть у вас установлено обновление, устраняющее эту уязвимость.

Пример:
было: unserialize($_REQUEST["PARAMS"])
стало: unserialize($_REQUEST["PARAMS"], ['allowed_classes' => false])