Мы используем Sitecore 6.5 и были предупреждены об уязвимости XSS: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-100004. Я не могу найти никакого разрешения, кроме обновления до Sitecore 7, поэтому подумал, что я попрошу здесь на всякий случай, если кто-то узнает о другом. Мы планируем обновить, но это далеко не так, из-за сложности сайта и определенных настроек, которые были сделаны. Мы застряли в этой уязвимости до обновления? Кроме того, это повлияет как на CM, так и на CD или только на CM? Похоже, что какая-то информация говорит о том, что это уязвимость для CM. Мы разделили CM и CD для использования двух разных серверов, и у нас даже есть разные пользователи базы данных для каждого, чтобы минимизировать разрешения только для тех, которые нужны каждому.Sitecore 6.5 Вставка скрипта управления XML Уязвимость
ответ
Как предлагали другие; вам действительно нужно посмотреть, как будет проходить проект обновления. Sitecore 6 официально не поддерживается, если вы не приобретаете специальные подписки на поддержку с Sitecore. Это сказало ...
Уязвимость, о которой вы упоминаете, не указывает мне, что это повлияет только на CM - по крайней мере, не на конфигурации по умолчанию. Вы проверили это? Попробуйте некоторые из примеров, перечисленных в документе об уязвимости.
http://www.securityfocus.com/archive/1/archive/1/530901/100/0/threaded
Если вы действительно можете воспроизвести проблему на оба ваших CM и CD-серверов, может быть обходной путь в, удаление целевой подсистемы от конфигурации компакт-диска. Это - спекуляция с моей стороны, хотя - так что удостоверьтесь, что вы проверяете и повторно проверяете.
<control template="xmlcontrol" type="Sitecore.Web.UI.XmlControlRenderingType, Sitecore.Kernel" propertyMap="controlName=control name, properties=parameters"/>
Найти это в вашей конфигурации и удалить его (с компакт-диска). Если он закроет проблему, вы, по крайней мере, установите временное обходное решение. Ваш CM-блок, вероятно, не будет работать с отключенным, поэтому теперь вам придется защищать его за брандмауэром. Хорошая практика.
- 1. Sitecore 6.5 изменение пользовательского управления динамически
- 2. Sitecore 6.5 с MVC3
- 3. Sitecore Analytics: Trigger Event из службы REST (Sitecore 6.5)
- 4. Sitecore 6.5 Доступ к базе данных аналитики
- 5. Ошибка шифрования строк подключения в Sitecore 6.5
- 6. Получить изделие по ID в Sitecore 6.5
- 7. кнопка управления документом sitecore
- 8. Вставка скрипта с jQuery
- 9. Sitecore 6.5 DMS - Регистрация завершения цели через API
- 10. Sitecore 6.5 rev. 120247 media urls добавляет ведущую косую черту
- 11. Sitecore 6.5 Проблемы с доставкой контента (публикация/кэширование?)
- 12. Sitecore 6.5 Переиздание перезаписанных носителей для автоматической публикации
- 13. Преобразование элементов Sitecore из версии 6.5 в версию 6.6
- 14. Получить текущий элемент из пользовательского редактора Sitecore 6.5
- 15. Как перенести/обновить до sitecore 7 из версии 6.5/6.6
- 16. Добавление рабочего процесса к существующему элементу в sitecore 6.5
- 17. XSS УЯЗВИМОСТЬ ДЛЯ XML - response.getWriter(). Write (xml.toString());
- 18. Sitecore: Доступ управления от sublayout
- 19. Sitecore содержание управления версиями вопрос
- 20. Пакетная вставка скрипта Google Apps
- 21. Вставка скрипта в mysql запрещена?
- 22. Вставка скрипта самоисполнения JavaScript/Shopify
- 23. Динамическая вставка скрипта с Javascript
- 24. Вставка HTML-скрипта через javascript
- 25. Вставка скрипта из jQuery/Javascript
- 26. Вставка html-формы внутри скрипта
- 27. Вставка скрипта php в атрибут действия формы
- 28. Уязвимость привязки к DataContext
- 29. Вставка XML в XML-элемент
- 30. Уязвимость XSS в java
Я бы посоветовал вам поднять билет с помощью Sitecore Support, если вы еще этого не сделали. – jammykam
Предлагаю вам сделать обновление с 6.5. Ошибка безопасности является такой и применяется к 6.5: https://kb.sitecore.net/articles/020736 –
Я уведомил нашу внутреннюю группу безопасности и надеюсь получить от них ответ или поддержку продукта здесь в ближайшее время. Я настоятельно рекомендую вам поднять билет поддержки по этой проблеме. –