есть вот такое маленькое и с виду даже безобидное примечание
Важно! Выражения типа {=...} в теле кода нужно использовать с особой осторожностью. Они могут содержать параметры, которые может изменить любой пользователь портала, даже не имеющий необходимых прав. |
И примеры использование шаблонов в РНР коде, например
| "NAME" => {=Document:NAME}, |
Поэтому мой вам совет, НИКОГДА не используйте шаблоны типа "{=...}" в действиях РНР и аналогичных действиях. Получайте все значения с помощью РНР кода.
Например вместо
{=Variable:COMPANY_NAME} |
используйте
$root->GetVariable('COMPANY_NAME') |
В том месяце обнаружили эту проблему и внесли правки. Я дополню примечание в документации, чтобы ситуация была более понятна.
На сколько мне известно правки будут только в документации, поэтому стоит предупредить тех, кто использует БП очень много и часто, чтобы они проверили и поправили свои БП.
Спасибо!
пожалуйста поясните:
ваша статья относится только к активити "Выполнение произвольного PHP кода" ?
Получается, в облаке такой уязвимости нет, потому что "Выполнение произвольного PHP кода" доступно только в коробке?
Хотя, если честно, я не проверял, не было такой необходимости
Например, я открыл настройки стандартного Бизнес-процесса Счет на оплату:
В параметрах такое:
Согласование счета для сотрудника
{=Document:CREATED_BY_PRINTABLE} ({=Document:PROPERTY_NAME}, {=Document:PROPERTY_SUM} {=Document:PROPERTY_CURRENCY})
Например = 146% проблема