написал: овость от 06.02.2025 по теме для решений от Аспро: Взломы сайтов на решениях Аспро: как обезопасить проект Проблема актуальна для решений Аспро, не обновлявшихся с лета 2023 года.Для проектов Аспро, снятых с поддержки, есть Патчер безопасности . Прямая ссылка на патчер: (распаковать в корень сайта, перейти по ссылке /fixit.php)Информация для исправления вручную: Общая информация по исправлению уязвимости unserialize ЦитатаРешениеДля исправления уязвимости нужно в местах, где используется функция unserialize, указать в качестве второго аргумента ['allowed_classes' => false].Пример:было: unserialize($_REQUEST["PARAMS"])стало: unserialize($_REQUEST["PARAMS"], ['allowed_classes' => false])Обязательно проверить директории:/ajax//include//form//bitrix/components/aspro/Запустить поиск по этим папкам слова unserialize и внести правки во всех местах где требуется.Если у вас вместо unserialize используется Solution::unserialize() или CMax::unserialize, то ничего добавлять не нужно. Эти методы уже содержат правку. То есть у вас установлено обновление, устраняющее эту уязвимость.
!!!!!!!!!!!!! Ни в коем случае не запускайте данный патч в режиме исправления, если не хотите положить сайт !!!!!!!!!! Только в режиме просмотра. При исправлении там сплошные синтаксические ошибки, задвоения аргументов и т.п.
Я использовал этот патч, предварительно локально проверив его работу. У меня он ничего не поломал, применил на 3х сайтах, все ок.
Кто-то еще применял патч? После него были заражения? Этот патч находит все файлы с уязвимым кодом и меняет его на
Политика конфиденциальности