Wenn ich das neuste tinymce (module version 2.1.0 ( 2017-09-26 ))
gemäß Anleitung installiere wird es in den Modulen im Backend nicht angezeigt
1.) Kann es sein, dass bei diesem Release die vendormetadata.php vergessen wurde?
2.) Gibt es eine Quelle für alte Versionen? Bei dieser ist zum Beispiel das Auswählen von Bildern im Filemanager nicht mehr möglich (2.0.2 gings noch)
Hi,
Ältere Versionen gibt leider nicht.
Ich müsste letzte Woche das Modul für ein anderes Modul etwas umbauen, daher ist es gerade nicht lauffähig und vendormeradata dürfte nicht das einzige Problem sein.
Aber bis heute Abend kriege ich die neue Version wieder hin.
Ich denke mal, so ab 4-5 Uhr wird es eine fertige Version geben.
Danke für die schnelle Rückmeldung!
das Update ist jetzt online.
Ich musste die ältere TinyMCE 4.6.6 Version wieder einbauen, weil der Filemanager mit der neuen nicht mehr funktioniert…
habs grad ausprobiert
Bei mir geht der Filemanager jedoch auch in der Version nicht richtig
-> Bild einfügen -> Bild wählen von Filemanager -> Der Filemanger wird angezeigt und upload und sowas geht auch, aber sobald man ein Bild auswählen will -> keine Funktion
letzter mir bekanter funktionierender stand war 2.0.2
(don’t kill the messenger)
öffne mal diese URL im Browser (deine Shop-URL am Anfang eintragen):
http://dein-shop.de/modules/bla/bla-tinymce/tinymce/tinymce.min.js
In der ersten Zeile sollte sowas stehen:
// 4.6.6 (2017-08-30)
(so wie hier: https://github.com/vanilla-thunder/bla-tinymce/blob/master/copy_this/modules/bla/bla-tinymce/tinymce/tinymce.min.js )
wenn nicht, drück mal Strg+R.
Wenn dann 4.6.6 steht, musst du den Browser Cache löschen.
Mir ist beim Review des Filemanagers etwas aufgefallen:
Die verify Funktion für den Pfad ist unzureichend, was eine Path-Traversal Attacke ermöglicht in der filelist.php und download.php, mutmaßlich auch in anderen Dateien.
Beispiel:
…/modules/bla/bla-tinymce/fileman/php/download.php?f=/out/pictures/wysiwigpro/…/…/…/.htaccess
Man muss nur die eigentliche file location am Anfang des Pfades lassen, da nur geprüft wird ob der Pfad damit beginnt. Anschließend kann per “…/” durch die direktories nach oben geklettert werden und jede beliebige Datei, inklusive DB Konfiguration etc. ausgelesen werden…
wenn das so ist, müsstest Du das am besten dem Anbieter des Filemanagers melden:
Oh stimmt, kommt von denen. erledigt.
@Rasioc
ahhhhh… danke für den Hinweis
Glücklicherweise steht alles sensible in der DB
Aber wenn ich ehrlich bin, steh ich auch grad auf dem Schlauch was für ein Angriffsvektor das sein soll?
Die .htaccess ist auf 444, nur drankommen bringt nix - und selbst bei der robots.txt bekomm ich da ein Access denied - also wohl eher theoretisch
Ich könnt mir nur vorstellen das wenn jemand Downloads anbietet und die in höheren ebenen hat jemand an die files kommen könnte.
@vanilla
// 4.6.6 (2017-08-30)
steht drin, tut aber nicht
Hab ich ne Chance über DM an nen 2.0.2 Build von Dir zu kommen?
@Tecki
Also bei mir bekomme ich jede Datei, sofern der Pfad Beginn mit dem normalen Upload pfad (default: /out/pictures/wysiwigpro/) übereinstimmt und die Datei existiert die ich abrufen will.
die .htaccess war natürlich ein Beispiel. Normalerweise würde man sich z.b. die config.inc.php holen und hätte damit deinen DB Login.
Da die Funktion in mehreren Methoden benutzt wird, würde ich nicht ausschließen dass man damit nicht auch Dateien in andere Ordner als vorgesehen uploaden kann und sich damit eine PHP-Shell auf dem Server einrichten kann…
Evtl. sind die Calls auch nur als Admin möglich und deshalb kommt der access denied? Hab ich nicht geprüft.
ich hab ehrlich gesagt nur geschaut ob ich über
…/modules/bla/bla-tinymce/fileman/php/download.php?f=/out/pictures/wysiwigpro/…/…/…/robots.txt
mich durchhangeln kann, aber nichtmal das geht
config.inc.php ist wie .htaccess auf 444
Mal nicht gleich den Teufel an die wand bevor Du nicht bei nem externen shop an den Inhalt der config.inc.php kommst. Das ist ja schon worst case von dem Du da sprichst, ich hatte 2 min echt Panik. Bitte testen bevor so ne Vermutung geäußert wird, demo shops sind genug im Netz bei denen es nicht so schlimm wär das kurz mal zu checken.
Hab das in einem demo shop gefunden^^
Aber habs grad nochmal getestet: Man benötigt admin zugang - den hatte ich wohl in dem demo shop aktiv.
Aber auch jemand mit backend zugang sollte nicht gleich den server kapern können 
Sonst könnte man sich die validierung gleich ganz sparen… Aber klar, so ists nicht mehr so kritisch.
edit: evtl. muss man auch den editor dazu einmal aufgemacht haben in der session zusätzlich als admin.
jep, mit Anmeldung im Backend gehts
Naja, ich seh es jetzt mal nicht als so kritisch. Aber vielleicht ist es ne gute Idee das Modul im Normalbetrieb zu deaktivieren. Nach Deaktivierung + Cookies und tmp löschen gehts nimmer, auch bei Anmeldung im Backend.
Im Interesse aller:
Und ja, die tippser gönne ich mir nachts nach 2
ich konnte in einem Shop noch 2.0.3 finden
versuch mal damit
Verhalten 2.0.3
wird dein Shop zufällig über einen Symlink erreicht und nicht über den echten Pfad im Dateisystem? Das Problem kenne ich nur von solchen Fällen.
Ich habe hier noch eine 2.0.1er Version gefunden.
Wenns auch dann nicht klappt, dann müsste man schauen, auf welchen Pfad der Dateimanager zugreifen will
Mit der 2.0.1 funktioniert alles!
Super, danke!
Kein Symlink
