Patch de segurança SUPEE-10266 - Possíveis problemas?

36

Um novo patch de segurança está disponível para o Magento 1, abordando 13 questões do APPSEC

https://magento.com/security/patches/supee-10266

Quais problemas comuns você deve observar ao aplicar esse patch?

SUPEE-10266, Magento Commerce 1.14.3.6 e Open Source 1.9.3.6 contêm vários aprimoramentos de segurança que ajudam a fechar a falsificação de solicitação entre sites (CSRF), vazamento de dados não autorizado e vulnerabilidades de execução remota de código de usuário Admin autenticadas. Essas versões também incluem correções para problemas com recarga de imagens e pagamentos usando a verificação em uma etapa.

Luke Rodgers
fonte
Problema enfrentado ao aplicar a 1.9.3.2 - magento.stackexchange.com/questions/193451/…
Shrenik 15/17

Respostas:

13

Algumas das informações importantes são compartilhadas aqui. A maioria dos arquivos do back-end do Magento. O arquivo lista:

app/code/core/Mage/Admin/Model/Session.php
app/code/core/Mage/Adminhtml/Block/Notification/Grid/Renderer/Notice.php
app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
app/code/core/Mage/Adminhtml/Controller/Action.php
app/code/core/Mage/Adminhtml/Model/LayoutUpdate/Validator.php
app/code/core/Mage/Adminhtml/controllers/CustomerController.php
app/code/core/Mage/Adminhtml/controllers/Newsletter/TemplateController.php
app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Core/Model/Email/Template/Abstract.php
app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/Model/Session/Abstract/Varien.php
app/code/core/Mage/Core/etc/config.xml
app/code/core/Mage/Rss/Helper/Data.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Zend/Serializer/Adapter/PhpCode.php
app/design/adminhtml/default/default/template/backup/dialogs.phtml
app/design/adminhtml/default/default/template/catalog/product/edit/options/type/file.phtml
app/design/adminhtml/default/default/template/customer/tab/view.phtml
app/design/adminhtml/default/default/template/login.phtml
app/design/adminhtml/default/default/template/notification/toolbar.phtml
app/design/adminhtml/default/default/template/oauth/authorize/form/login.phtml
app/design/adminhtml/default/default/template/resetforgottenpassword.phtml
app/design/adminhtml/default/default/template/sales/order/view/history.phtml
app/design/adminhtml/default/default/template/sales/order/view/info.phtml
app/design/install/default/default/template/install/create_admin.phtml
app/locale/en_US/Mage_Adminhtml.csv
downloader/template/login.phtml

O importante é verificar esses três arquivos.

app/code/core/Mage/Checkout/controllers/CartController.php
app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
app/code/core/Mage/Core/Model/File/Validator/Image.php

app / code / core / Mage / Checkout / controllers / CartController.php, condição adicional, verifique a identificação do cliente :

diff --git app/code/core/Mage/Checkout/controllers/CartController.php app/code/core/Mage/Checkout/controllers/CartController.php
index 7c9f28f..bee6034 100644
--- app/code/core/Mage/Checkout/controllers/CartController.php
+++ app/code/core/Mage/Checkout/controllers/CartController.php
@@ -284,14 +284,16 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
     public function addgroupAction()
     {
         $orderItemIds = $this->getRequest()->getParam('order_items', array());
+        $customerId   = $this->_getCustomerSession()->getCustomerId();

-        if (!is_array($orderItemIds) || !$this->_validateFormKey()) {
+        if (!is_array($orderItemIds) || !$this->_validateFormKey() || !$customerId) {
             $this->_goBack();
             return;
         }

         $itemsCollection = Mage::getModel('sales/order_item')
             ->getCollection()
+            ->addFilterByCustomerId($customerId)
             ->addIdFilter($orderItemIds)
             ->load();
         /* @var $itemsCollection Mage_Sales_Model_Mysql4_Order_Item_Collection */
@@ -709,4 +711,14 @@ class Mage_Checkout_CartController extends Mage_Core_Controller_Front_Action
         $this->getResponse()->setHeader('Content-type', 'application/json');
         $this->getResponse()->setBody(Mage::helper('core')->jsonEncode($result));
     }
+
+    /**
+     * Get customer session model
+     *
+     * @return Mage_Customer_Model_Session
+     */
+    protected function _getCustomerSession()
+    {
+        return Mage::getSingleton('customer/session');
+    }
 }

app / code / core / Mage / Sales / Model / Resource / Order / Item / Collection.php added Método adicional addFilterByCustomerId na coleção.

diff --git app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
index ee83ad48..c02afdf 100644
--- app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
+++ app/code/core/Mage/Sales/Model/Resource/Order/Item/Collection.php
@@ -152,4 +152,20 @@ class Mage_Sales_Model_Resource_Order_Item_Collection extends Mage_Sales_Model_R
         $this->getSelect()->where($resultCondition);
         return $this;
     }
+
+    /**
+     * Filter by customerId
+     *
+     * @param int|array $customerId
+     * @return Mage_Sales_Model_Resource_Order_Item_Collection
+     */
+    public function addFilterByCustomerId($customerId)
+    {
+        $this->getSelect()->joinInner(
+            array('order' => $this->getTable('sales/order')),
+            'main_table.order_id = order.entity_id', array())
+            ->where('order.customer_id IN(?)', $customerId);
+
+        return $this;
+    }
 }

app / code / core / Mage / Core / Model / File / Validator / Image.php

se 'general / reprocess_images / active' false, pule o reprocessamento da imagem. NOTA: Se você desativar o reprocessamento de imagens, o processo de upload de imagens poderá causar riscos à segurança

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 9d57202..6a939c3 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -91,6 +91,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {

Espero que seja útil. eu acho que

Rama Chandran M
fonte
Você poderia especificar como exatamente devemos verificar possíveis problemas em CartController.php e Collection.php. Onde exatamente procurar possíveis falhas no site?
Icon
Eu atualizei os sites do patch de segurança 3, todos os três sites substituem esses dois arquivos. Verifique e atualize cuidadosamente esses dois arquivos. Não há Gitches nos 3 sites
Rama Chandran M
10

EE 1.14.2.4

Erro de digitação na linha 726 do patch: autocomplete="new-pawwsord" (app/design/adminhtml/default/default/template/backup/dialogs.phtml )

O patch parece ter 2 arquivos de front-end:

Remendado:

app\design\adminhtml\default\default\template\oauth\authorize\form\login-simple.phtml

Não corrigido:

app\design\frontend\base\default\template\oauth\authorize\form\login-simple.phtml app\design\frontend\rwd\default\template\oauth\authorize\form\login-simple.phtml


Também não se esqueça de verificar se há substituições locais ... Eu tive que corrigir manualmente uma substituição de conjunto de códigos local de app\design\adminhtml\default\default\template\sales\order\view\info.phtml


Veja quasiobject 's resposta para uma questão de checkout onepage. Ticket de suporte corporativo criado, aguardando resposta do Magento. Se você não quiser esperar por um patch atualizado, uma possível correção é modificar app\design\frontend\enterprise\default\template\giftcardaccount\onepage\payment\scripts.phtmla declaração "else" para incluir o elemento form_key da seguinte maneira:
if (($('p_method_' + methodName) && $('p_method_' + methodName).checked) || elements[i].name == 'form_key') { ...


CE 1.9.2.4

Erro de digitação na linha 694 do patch: autocomplete="new-pawwsord" (app/design/adminhtml/default/default/template/backup/dialogs.phtml )

A extensão TrueOrderEdit precisa ser corrigida ... mude echo $_groupNamepara echo $this->escapeHtml($_groupName)nos seguintes arquivos:

app\design\adminhtml\default\default\template\orderedit\sales\order\view\edit.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\history.phtml app\design\adminhtml\default\default\template\orderedit\sales\order\view\info.phtml


Por fim, esse arquivo de modelo principal provavelmente também deve ser corrigido com a mesma atualização $ _groupName:

app\design\adminhtml\default\default\template\sales\order\view\edit.phtml


Todas as versões do 1.X

Se você excluiu a /downloaderpasta (ou/downloader/template ) da sua base de código, pode ser necessário editar manualmente o arquivo de patch .sh e remover a última seção, começando comdiff --git downloader/template/login.phtml downloader/template/login.phtml

Com relação ao erro Chave Secreta Inválida , veja minha resposta aqui: Magento 1.9 Chave Secreta Inválida. Atualize a página

kmdsax
fonte
Eu também encontrei o erro de digitação para o patch 1.7.0.2. autocomplete = "new-pawwsord". Em qualquer caso, isso afeta a operação do código? Se sim, talvez a versão 2 do patch esteja a caminho?
Icon
Essencialmente, o erro de digitação está no código responsável pelo truque do FireFox. "Este é um campo oculto fictício para enganar o firefox de preencher automaticamente a senha" ... não parece nada importante.
Icon
@kmdsax Recebi um patch do suporte para corrigir o problema. Atualizei minha resposta com os detalhes.
quasiobject
você poderia pls me ajudar a resolver o meu erro magento.stackexchange.com/q/204446/57334
ZUS
9

Nós em MageHost.pro encontramos um problema no patch para Magento 1.9.1.1, arquivo de patchPATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh

Erro:

checking file app/code/core/Mage/Core/Model/File/Validator/Image.php
Hunk #1 FAILED at 90.
1 out of 1 hunk FAILED

Corrigi-o substituindo as linhas 454-472 por 454-471 de PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh

Código antigo, linha 454-472:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 7f7b9d0..8a28da2 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,7 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         $fileInfo = getimagesize($filePath);
         if (is_array($fileInfo) and isset($fileInfo[2])) {
             if ($this->isImageType($fileInfo[2])) {
-                return null;
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
             }
         }
         throw Mage::exception('Mage_Core', Mage::helper('core')->__('Invalid MIME type.'));

Novo código, linhas 454-471:

diff --git app/code/core/Mage/Core/Model/File/Validator/Image.php app/code/core/Mage/Core/Model/File/Validator/Image.php
index 8618bca..d3aba19 100644
--- app/code/core/Mage/Core/Model/File/Validator/Image.php
+++ app/code/core/Mage/Core/Model/File/Validator/Image.php
@@ -90,6 +90,13 @@ class Mage_Core_Model_File_Validator_Image
         list($imageWidth, $imageHeight, $fileType) = getimagesize($filePath);
         if ($fileType) {
             if ($this->isImageType($fileType)) {
+                /**
+                 * if 'general/reprocess_images/active' false then skip image reprocessing.
+                 * NOTE: If you turn off images reprocessing, then your upload images process may cause security risks.
+                 */
+                if (!Mage::getStoreConfigFlag('general/reprocess_images/active')) {
+                    return null;
+                }
                 //replace tmp image with re-sampled copy to exclude images with malicious data
                 $image = imagecreatefromstring(file_get_contents($filePath));
                 if ($image !== false) {
Jeroen Vermeulen - MageHost
fonte
Você já olhou para outras versões? Se sim, o mesmo problema está presente?
Icon
1
@Icon Testamos ce-1.6.0.0 ce-1.6.1.0 ce-1.6.2.0 ce-1.7.0.0 ce-1.7.0.1 ce-1.7.0.2 ce-1.8.0.0 ce-1.8.1.0 ce-1.9.0.0 ce -1.9.0.1 ce-1.9.1.0 ce-1.9.1.1 ce-1.9.2.0 ce-1.9.2.1 ce-1.9.2.2 ce-1.9.2.3 ce-1.9.2.4 ce-1.9.3.0 ce-1.9.3.1 ce -1.9.3.2 ce-1.9.3.3 ce-1.9.3.4. Todas as versões tinham todos os patches anteriores instalados. O único com erro de correção foi ce-1.9.1.1.
Jeroen Vermeulen - MageHost 17/17
6

Apenas 1 chave de formulário parece ter sido adicionada neste patch.

diff --git app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
index 8756f3f..1c5cf37 100644
--- app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
+++ app/code/core/Mage/Adminhtml/Block/Widget/Form/Container.php
@@ -96,7 +96,10 @@ class Mage_Adminhtml_Block_Widget_Form_Container extends Mage_Adminhtml_Block_Wi

     public function getDeleteUrl()
     {
-        return $this->getUrl('*/*/delete', array($this->_objectId => $this->getRequest()->getParam($this->_objectId)));
+        return $this->getUrl('*/*/delete', array(
+            $this->_objectId => $this->getRequest()->getParam($this->_objectId),
+            Mage_Core_Model_Url::FORM_KEY => $this->getFormKey()
+        ));
     }

Portanto, se você tiver alguma dificuldade para excluir um widget do painel de administração, verifique se o URL de exclusão está sendo gerado pelo bloco e se não há substituições desse bloco.

Luke Rodgers
fonte
como posso resolver este magento.stackexchange.com/q/204446/57334 ?
Zus 5/12
5

Impossível fazer checkout no EE 1.11+

No app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtmlformulário, o código de validação da chave foi removido e ele quebra todo o checkout, mais informações aqui: https://magento.stackexchange.com/a/193442/2380

Solução alternativa por enquanto (como uma V2 para EE 1.11+ será lançada para solucionar esse problema): reverta o arquivo de modelo para ambos enterprise/defaulterwd/entreprise temas.

Diferenças entre patch e versão

EDIT: 1.9.3.6 foi lançado, portanto, esta informação não é mais relevante

Um dos principais problemas levantados no momento é que 1.9.3.5 está faltando 3 patches de segurança no patch. Portanto, eu recomendo fortemente apenas corrigir e não atualizar para 1.9.3.5 ainda

Raphael na Digital Pianism
fonte
Você tem mais informações sobre isso, como um exemplo de arquivo sem patch na 1.9.3.5?
Lucas Rodgers
Isso ainda está em andamento para CE / Open Source? Para EE / Commerce, não há download 1.14.3.5 disponível, apenas 1.14.3.6.
7ochem 15/09/19
Na página de download CE / Open Source há também apenas 1.9.3.6 (desde 14 setembro ele diz) e não 1.9.3.5 mais
7ochem
4
1.9.3.6 foi lançado ontem, esta informação não é mais relevante.
Ryan Hoerr
5

Ainda estamos tentando determinar se isso é exclusivo para nossa loja, devido a modelos personalizados. No entanto, está quebrado com o patch aplicado e não está quebrado quando revertemos. Eu queria postar caso outras pessoas possam denunciar o mesmo.

No EE 1.14.2.0, não podemos avançar além da etapa Informações de pagamento do checkout com o patch aplicado. Estamos atualizados com o SUPEE-9767 v2 antes de aplicar o novo patch.

Parece que nosso problema decorre da remoção || elements[i].name == 'form_key'de:

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

É removido do enablePaymentMethodsloop. Isso parece deixar a entrada form_key oculta do formulário desativada e, portanto, não passada para o controlador quando enviada.

<input name="form_key" type="hidden" value="X" disabled="">

Então, $this->_validateFormKey()falha e o controlador não retorna nada.


Atualização 1 (18/09/2017) : enviei um ticket para o suporte do Magento na sexta-feira e me disseram que "[ainda não havia sido relatado por nenhum comerciante". Em vez de enviar backups, tentei duplicar em uma instalação limpa de 1.14.2.4 e 1.14.3.4 com os patches aplicáveis. Consegui duplicar e respondi ao ticket. Aguardando uma nova resposta.

Nota: Sistema> Configuração> Admin> Segurança> Ativar validação de chave de formulário no checkout precisa ser "Sim". Se "Não", você não verá o problema.


Atualização 2 (18/09/2017) : Observe que não consigo duplicar o problema com a 1.14.3.6, mas quando verifiquei o arquivo de modelo acima, ele || elements[i].name == 'form_key'ainda está lá. Parece que os patches não deveriam ter sido removidos. Também enviou essas informações ao suporte do Magento.


Atualização 3 (20/09/2017): Acabei de receber um patch para corrigir o problema da 1.14.0.0–1.14.3.4, que restaura a form_keylinha do modelo. Peça suporte ao SUPEE-10348.

quasiobject
fonte
Mesmo problema aqui em 1.14.2.4
kmdsax 15/09
Obrigado @kmdsax. Também enviei um ticket e aguardo uma confirmação do suporte.
quasiobject
Você tentou replicar o mesmo erro na versão 1.9.2.4 CE?
Icon
1
@ Ícone eu não tenho. Eu trabalho para um único comerciante e somos EE. No entanto, acho que não seria afetado, pois é um bloco de script de vale-presente de EE. Isso não deveria existir no CE.
quasiobject
4

Quando você vai para o Magento Connect e depois quando você clica em "Voltar ao administrador" no canto superior direito da página. Ao retornar ao painel do administrador, você recebe uma mensagem de erro

mensagem de erro vermelha : "Chave secreta inválida. Atualize a página."

Depois de atualizar a página, ela se foi.


Atualizado: 15 de setembro de 2017

Se você fizer login no Magento admin, digamos Painel. Sem sair do painel do Dashboard, você abre outra janela do navegador no mesmo navegador e acessa example.com/admin, o login é automático e mostra exatamente a mesma mensagem

mensagem de erro vermelha : "Chave secreta inválida. Atualize a página."

Até agora, é o único problema que encontrei. Não tenho certeza se é um problema sólido, pois a mensagem desaparece após a atualização.

Ícone
fonte
Talvez isso ocorra
Kevin Krieger
1
@KalvinKlien Também estou no 1.7.0.2. Eu vejo essa mensagem toda vez que entrei entre o admin e o Magneto Connect (/ downloader). Só estou tentando descobrir se os outros também o veem. Não parece ser um problema importante.
Icon
3
Também estou vendo isso no 1.9.2.1. Alguém já registrou um relatório de bug no rastreador de erros do Magento .
Michael Thessel
1
É um erro na Mage_Adminhtml_Controller_Action :: preDispatch (): if ($_keyErrorMsg != '') { Mage::getSingleton('adminhtml/session')->addError($_keyErrorMsg); };deve serif (!$_isValidFormKey){ Mage::getSingleton('adminhtml/session')->addError($_keyErrorMsg); };
Laura
1
hmmmm, essa é uma solução parcial até o momento. Eu ainda vejo o erro de vez em quando, não tenho certeza se há um outro controlador que tem esse problema
Kalvin Klien
4

Perguntei ao Magento Support sobre o seguinte problema

app/design/frontend/enterprise/default/template/giftcardaccount/onepage/payment/scripts.phtml

Eles me responderam esta manhã e lançaram um novo patch PATCH_SUPEE-10348 .

Magento acabou de resolver o problema fazendo uma reversão neste arquivo.

Índice: app / design / frontend / enterprise / padrão / modelo / giftcardaccount / onepage / payment / scripts.phtml
==================================================== =================
--- app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
+++ app / design / frontend / enterprise / default / template / giftcardaccount / onepage / payment / scripts.phtml
@@ -35,6 +35,7 @@
             if (elementos [i] .name == 'pagamento [método]'
                 || elementos [i] .name == 'pagamento [use_customer_balance]'
                 || elementos [i] .name == 'pagamento [use_reward_points]'
+ || elementos [i] .name == 'form_key'
             ) {
                 methodName = elementos [i] .value;
                 if ((free && methodName == 'free') || (! free && methodName! = 'free')) {
cghisi
fonte
1
Pode confirmar que esse patch está disponível no portal do parceiro.
Lucas Rodgers
Obrigado pela informação. I foi se esqueça de dar essa informação
cghisi
3

Encontrei um problema com modelos de email, CSS personalizado e modman. Se, por exemplo, você tem um tema baseado em rwd/default, tem um costume skin/frontend/package/theme/css/email-inline.csse seus arquivos de capa são incluídos via modman por meio de um link simbólico, o CSS não será adicionado ao modelo de correio após a aplicação do SUPEE-10266. A questão é que Mage_Core_Model_Email_Template_Abstract::_getCssFileContent, em , algumas verificações foram introduzidas .:

                 '_theme' => $theme,
             )
         );
+        $filePath = realpath($filePath);
+        $positionSkinDirectory = strpos($filePath, Mage::getBaseDir('skin'));
+        $validator = new Zend_Validate_File_Extension('css');

-        if (is_readable($filePath)) {
+        if ($validator->isValid($filePath) && $positionSkinDirectory !== false && is_readable($filePath)) {
             return (string) file_get_contents($filePath);
         }

Eu o resolvi com um truque sujo com uma app/code/local/Mage/Core/Model/Email/Template/Abstract.phpsubstituição por enquanto. Eu tive que enfraquecer a verificação, para que seja possível carregar o arquivo CSS do diretório modman:

$filePath = realpath($filePath);
$baseDirectory = Mage::getBaseDir();
$fullSkinDirectory = Mage::getBaseDir('skin');
$relativeSkinDirectory = substr($fullSkinDirectory, strlen($baseDirectory));
$positionSkinDirectory = strpos($filePath, $relativeSkinDirectory);
$validator = new Zend_Validate_File_Extension('css');
$noDirectoryTraversal = strpos($filename, '..') === false;

if ($validator->isValid($filePath) && $positionSkinDirectory !== false && $noDirectoryTraversal
    && is_readable($filePath)) {
    return (string) file_get_contents($filePath);
}

Ele não verifica mais se o caminho inclui o diretório completo da aparência, mas apenas verifica se o caminho contém a cadeia /skine se não inclui .., o que deve impedir ataques de deslocamento do diretório.

Simon
fonte
1
Excluiu minha resposta, pois a sua é mais completa. O truque que usei foi verificar if (strpos($filename, '..') === false) { $positionSkinDirectory = 1; }a linha depois de ter $positionSkinDirectorysido definida originalmente. Isso deve ajudar a evitar a travessia do diretório.
Peter O'Callaghan
Quero nota, que enfraquecem neste meio de caso, tornando-se novamente vulneráveis, e que a utilização desta solução é um risco de segurança direta
Flyingmana
@ PeterO'Callaghan boa ideia! Acabei de adicionar seu cheque ao meu código de resposta.
Simon
@ Flyinglying isso deve diminuir drasticamente o risco.
Simon
2

Aqui está a lista completa dos patches afetados pelo autocomplete="new-pawwsord"erro de digitação:

CE 1.7.0.0-1.7.0.2      PATCH_SUPEE-10266_CE_1.7.0.2_v1-2017-09-13-06-27-12.sh:664
CE 1.8.0.0-1.8.1.0      PATCH_SUPEE-10266_CE_1.8.1.0_v1-2017-09-13-06-28-08.sh:665
CE 1.9.0.0-1.9.0.1      PATCH_SUPEE-10266_CE_1.9.0.1_v1-2017-09-13-06-31-01.sh:665
CE 1.9.1.0              PATCH_SUPEE-10266_CE_1.9.1.0_v1-2017-09-13-06-34-33.sh:733
CE 1.9.1.1              PATCH_SUPEE-10266_CE_1.9.1.1_v1-2017-09-15-04-59-56.sh:734
CE 1.9.2.0-1.9.2.4      PATCH_SUPEE-10266_CE_1.9.2.4_v1-2017-09-13-06-37-37.sh:694
CE 1.9.3.0-1.9.3.2      PATCH_SUPEE-10266_CE_1.9.3.2_v1-2017-09-13-06-38-58.sh:694
CE 1.9.3.3-1.9.3.4      PATCH_SUPEE-10266_CE_1.9.3.4_v1-2017-09-13-06-39-58.sh:694
EE 1.12.0.0             PATCH_SUPEE-10266_EE_1.12.0.0_v1-2017-09-13-08-09-14.sh:696
EE 1.12.0.1-1.12.0.2    PATCH_SUPEE-10266_EE_1.12.0.2_v1-2017-09-13-08-06-57.sh:696
EE 1.13.0.0-1.13.1.0    PATCH_SUPEE-10266_EE_1.13.1.0_v1-2017-09-13-08-04-05.sh:696
EE 1.14.0.0-1.14.0.1    PATCH_SUPEE-10266_EE_1.14.0.1_v1-2017-09-13-08-01-04.sh:696
EE 1.14.1.0             PATCH_SUPEE-10266_EE_1.14.1.0_v1-2017-09-13-07-57-59.sh:764
EE 1.14.2.0             PATCH_SUPEE-10266_EE_1.14.2.0_v1-2017-09-13-07-07-14.sh:764
EE 1.14.2.1-1.14.2.4    PATCH_SUPEE-10266_EE_1.14.2.4_v1-2017-09-13-06-57-21.sh:726
EE 1.14.3.0-1.14.3.2    PATCH_SUPEE-10266_EE_1.14.3.2_v1-2017-09-13-06-53-35.sh:716
EE 1.14.3.3-1.14.3.4    PATCH_SUPEE-10266_EE_1.14.3.3_v1-2017-09-13-06-51-06.sh:716
Richard Feraro
fonte
0

No Magento 1.8.1, tive problemas com os seguintes arquivos:

app/code/core/Mage/Core/Model/File/Validator/Image.php
app/code/core/Mage/Core/etc/config.xml
app/locale/en_US/Mage_Adminhtml.csv

Acabei baixando a versão mais recente do Magento, que NÃO contém o patch. Neste caso, Magento 1.9.3.4 .

A substituição dos arquivos 'corrompidos' pelo do download corrigiu o problema. Consegui aplicar o patch com sucesso.

Mas tenha cuidado: sugiro reverter os 3 arquivos após aplicar o patch novamente e editar os arquivos manualmente.

Stefan
fonte