پرستاشاپ 8.1.6 منتشر شد.

پرستاشاپ 8.1.6 به عنوان یک وصله (patch) جدید برای پرستاشاپ 8.1 در تاریخ 26 اردیبهشت 1403 و با حل 2 مشکل امنیتی منتشر شد.

پیشنهاد می‌کنیم که هر چه سریعتر فروشگاه خود را به این نسخه ارتقا دهید تا از مزایای آن بهره‌مند شوید. فراموش نکنید که قبل از ارتقا حتما یک فول بک آپ تهیه کنید. برای ارتقا می‌توانید از نسخه 5.0.1 ماژول ارتقا با یک کلیک استفاده کنید. هیچ تغییری در سمت دیتابیس در این آپدیت وجود ندارد.

لیست کامل تغییرات را می‌توانید در صفحه جزئیات انتشار مطالعه کنید.

نکته مهم

دیگر امکان دسترسی مستقیم به فایل‌هایی که در پوشه upload آپلود شدند، توسط آپاچی وجود ندارد. از این پس باید از روت admin_common_secured_file_image_reader استفاده شود.

توضیحات بیشتر را می‌توانید در داکیومنت توسعه مطالعه کنید.

اصلاحات امنیتی در پرستاشاپ 8.1.6

در این آپدیت 2 مشکل امنیتی برطرف شده است.

• حمله XSS از طریق فرم تماس بخش فروشگاهی، به کمک آپلود فایل – با تشکر از Ayoub Ait Elmokhtar برای گزارش
• مشتری ناشناس می‌تواند فاکتور مشتریان دیگر را دانلود کند – با تشکر از Samuel Bodevin برای گزارش

چطور اتفاق می‌افتد؟

1. حمله XSS از طریق فرم تماس: زمانی که گزینه «رشته پیام‌های مشتری» از منوی ویژگی‌های جدید و آزمایشی فعال باشد. پس اگر نسخه پرستاشاپ شما قدیمی‌تر از 8.1.6 است، کافیست این گزینه را غیرفعال کنید.
2. دانلود فاکتور سایر مشتریان: با ایجاد یک secure_key در URL دانلود فاکتور

دانلود

از آنجایی که نسخه 8.1.6 یک وصله است، ارتقا از نسخه‌های قدیمی ×.8.1 به این نسخه باید بدون هیچ مشکلی انجام شود. همانطور که همیشه پیشنهاد می‌شود، برای هر نوع آپدیت حتما یک فول بک آپ به صورت دستی تهیه کنید.

اگر در هنگام ارتقای پرستاشاپ به مشکلی خوردید، که از نظر خودتان، مربوط به ماژول‌های شخص ثالث یا تغییرات در فروشگاهتان نیست، می‌توانید یک گزارش باگ ثبت کنید.