APPSEC-1057 (SUPEE-6788의 일부) 상태
Magento는 이제 허용 된 블록 또는 지시문의 화이트리스트를 포함합니다. 모듈이나 다른 사람 이 CMS 페이지 나 이메일
{{config path=”web/unsecure/base_url”}}과 같은 변수를 사용{{block type=rss/order_new}}하고 지시문이이 목록에 없으면 데이터베이스 설치 스크립트와 함께 추가해야합니다.콘텐츠 (예 : 블로그 확장명)를 처리하는 확장 프로그램 또는 사용자 지정 코드가 영향을받을 수 있습니다. 코드에서 일부 구성 변수 또는 블록을 사용하는 경우 화이트리스트 테이블에 변수 또는 블록을 추가하는 데이터 업데이트 스크립트를 작성해야합니다.
맞춤 변수 및 블록을 어떻게 허용합니까?
답변:
완전성을 위해 시스템> 권한> 변수 및 시스템> 권한> 블록 아래의 화이트리스트에 블록 및 변수를 수동으로 추가 할 수 있습니다 . 여기에 추가 한 코드는 web/unsecure/base_url(config path) 또는 rss/order_new(block class alias) 형식입니다.
내 업그레이드 스크립트는 다음과 같습니다.
/*
* Make sure the upgrade is not performed on installations without the tables
* (i.e. unpatched shops).
*/
$adminVersion = Mage::getConfig()->getModuleConfig('Mage_Admin')->version;
if (version_compare($adminVersion, '1.6.1.2', '>=')) {
$blockNames = array(
'cms/block',
'catalog/product_list',
'germany/impressum',
'page/html',
'magesetup/imprint_field',
'magesetup/imprint_content'
);
foreach ($blockNames as $blockName) {
$whitelistBlock = Mage::getModel('admin/block')->load($blockName, 'block_name');
$whitelistBlock->setData('block_name', $blockName);
$whitelistBlock->setData('is_allowed', 1);
$whitelistBlock->save();
}
$variableNames = array(
'design/email/logo_alt',
'design/email/logo_width',
'design/email/logo_height',
);
foreach ($variableNames as $variableName) {
$whitelistVar = Mage::getModel('admin/variable')->load($variableName, 'variable_name');
$whitelistVar->setData('variable_name', $variableName);
$whitelistVar->setData('is_allowed', 1);
$whitelistVar->save();
}
}
교체 $blockNames및 $variableNames자신과 함께. 다음 도구는 사용 된 변수 및 블록을 찾는 데 도움이됩니다. https://github.com/peterjaap/magerun-addons
변수 / 블록을 먼저로드하면 복제본을 삽입하려고하지 않습니다 (스크립트가 충돌 함). 스크립트에 최종 패치 릴리스에서 이미 허용 된 변수 "trans_email / ident_general / email"및 "trans_email / ident_support / email"이 표시 되었기 때문에이 문제가 발생했습니다.
데이터 업그레이드 스크립트로 사용자 정의 모듈에 배치하십시오 (데이터 업그레이드 스크립트는 일반 업그레이드 스크립트 후에 실행되므로 테이블이 이미 존재 함). 구성 업데이트에 사용하는 모듈이없는 경우 다음과 같이 작성하십시오.
<?xml version="1.0"?>
<config>
<modules>
<Project_Config>
<active>true</active>
<codePool>local</codePool>
</Project_Config>
</modules>
</config>
<?xml version="1.0"?>
<config>
<modules>
<Project_Config>
<version>0.1.0</version>
</Project_Config>
</modules>
<global>
<resources>
<project_config>
<setup>
<module>Project_Config</module>
<class>Mage_Core_Model_Resource_Setup</class>
</setup>
</project_config>
</resources>
</global>
</config>
(위와 같이)
{{config}}지시문 만 허용 목록이 필요합니다. 이 코드는 확장 프로그램이 아닌 프로젝트 용이므로 패치 된 상점을 가정하지만 확장 프로그램은 마 젠토 버전을 확인해야합니다 (또는 테이블이 존재하는지 확인하는 것이 좋습니다)
Magento 1.9.2.2가 설치되면 시스템> 권한> 변수 및 시스템> 권한> 블록 아래의 Magento 백엔드에서 수동으로 추가 할 수 있습니다 .
블록의 사용자 정의 변수를 사용하는 플러그인은 아래와 같이 코드가있는 데이터 업그레이드 스크립트를 추가해야합니다.
if (Mage::getModel('admin/block')) {
$installer = $this;
$installer->startSetup();
$connection = $installer->getConnection();
$installer->getConnection()->insertMultiple(
$installer->getTable('admin/permission_block'),
array(
array('block_name' => 'flexslider/view', 'is_allowed' => 1),
)
);
$installer->endSetup();
}
SUPEE-6788패치가 설치된 후 새로운 테이블이 있음을 알 수 있습니다
permission_variable
permission_block
또한 이러한 화이트리스트 테이블에 구성 변수 또는 블록을 추가 할 수 있습니다.