Chỉ mục không xác định: form_key trong Trình tải xuống / Maged / Model / Session.php trên dòng 252

7

Sau khi áp dụng bản vá SUPEE-6285 trên Magento 1.9.1.0, tôi gặp lỗi sau trong system.log vài lần một ngày:

Chỉ mục không xác định: form_key trong ... downloader / Maged / Model / Session.php trên dòng 252

Tôi không tìm thấy bất kỳ tài liệu tham khảo nào khác trên mạng vì vậy tôi đang đăng câu hỏi này để xem có ai khác nhận được thông báo lỗi này không.

magento-1.9  error  security  patches  form-key 
Hoa cúc
nguồn

Câu trả lời:

6

Xác thực khóa biểu mẫu trong Magento Connect đã được thêm vào trong SUPEE-6285. Đầu vào khóa biểu mẫu đã được thêm vào các mẫu sau trong /downloader:

  • trình tải xuống / mẫu / kết nối / gói.phtml
  • trình tải xuống / mẫu / kết nối / gói_prepare.phtml
  • trình tải xuống / mẫu / login.phtml
  • trình tải xuống / mẫu / settings.phtml

Vì rõ ràng bạn nhận được yêu cầu cho trình tải xuống mà không cần khóa biểu mẫu, tôi thấy các lý do có thể sau:

  1. bạn đã không vá một trong các tập tin trên. Điều này là không thể bởi vì nếu tập lệnh vá không thể vá một tập tin, toàn bộ bản vá lỗi
  2. bạn đã thêm một biểu mẫu tùy chỉnh trỏ đến trình tải xuống ở đâu đó
  3. ai đó cố gắng tấn công cửa hàng của bạn (ví dụ như đăng nhập bằng vũ lực) nhưng khóa biểu mẫu ngăn chặn nó

Nếu đó là (1) hoặc (2) thì bạn nên dễ dàng tìm ra vì bạn nên biết về các tệp chưa được vá hoặc các mẫu bổ sung.

Nếu không, hãy kiểm tra nhật ký truy cập của máy chủ của bạn tại thời điểm xảy ra lỗi này để xem loại yêu cầu đó là gì và từ đó IP đến từ đâu. Cũng tìm kiếm các yêu cầu độc hại khác xung quanh nó.

Và vì có thể bạn đã bị hack trước khi bản vá được áp dụng, hãy kiểm tra cài đặt của bạn một cách cẩn thận để biết:

  • tài khoản quản trị viên không xác định
  • thêm phần mở rộng
  • đã thêm các tệp PHP (đặc biệt ẩn trong các thư mục không nguồn như /media/var)

Xem thêm:

Fabian Schmengler
nguồn
Cảm ơn bạn đã giúp đỡ. Câu trả lời của bạn đã giúp tôi hiểu vấn đề, cụ thể là # 3 ("ai đó cố gắng tấn công cửa hàng của bạn (ví dụ: đăng nhập bằng vũ lực) nhưng khóa biểu mẫu ngăn chặn vấn đề đó"). Kiểm tra nhật ký máy chủ, tôi thấy đó chính xác là những gì đã xảy ra trên thư mục trình tải xuống. Tôi thậm chí không nhận ra rằng trình tải xuống có thể truy cập trực tiếp từ thư mục đó - thật đáng sợ! Giải pháp của tôi là mật khẩu bảo vệ thư mục này.
Chrysippus
Tôi cũng đã có # 3. Tôi đã sử dụng .htaccess để từ chối quyền truy cập vào thư mục này cho bất kỳ ai ngoại trừ ip của tôi.
Deus777
0

Tôi đã tìm thấy những gì tôi tin là có lỗi trong Mã của Magento có liên quan đến lỗi này.

Chuyển đến tệp này: ứng dụng / mã / lõi / Mage / Lõi / Mô hình / Phiên / Tóm tắt / Varien.php

Tìm kiếm "Bị từ chối" Tôi tìm thấy 4 trường hợp trong đó từ "Chuyển tiếp" bị sai chính tả là "Bị từ chối" Tôi hy vọng điều này có ích.

Đây là phiên bản 1.9.2.4

Tôi không chắc chắn nếu điều này sẽ khắc phục vấn đề của bạn cụ thể, nhưng nó không thể làm tổn thương. Nó đã sửa lỗi "Chỉ mục không xác định:" cho tôi.

JB1
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.