Обновление безопасности готовых решений «Некстайп: Альфа» и «Некстайп: Магнит»

Мы провели плановый аудит безопасности наших готовых решений и в отдельных версиях нашли потенциальные уязвимости. Исправления уже выпущены и доступны через Маркетплейс 1С-Битрикс. Если вы используете «Некстайп: Альфа» или «Некстайп: Магнит» — обновитесь.

В статье — какие версии затронуты, что делать владельцам сайтов и как обновить модуль вручную, если по какой-то причине автоматическое обновление недоступно.

Затронутые продукты и версии

Уязвимости устранены в двух решениях:

• «Некстайп: Альфа — интернет-магазин» — все версии ниже 1.6.0. Исправленная версия — 1.6.0 и выше.
• «Некстайп: Магнит — интернет-магазин» — все версии ниже 1.8.0. Исправленная версия — 1.8.0 и выше.

Если у вас стоит более свежая сборка — вы уже защищены, делать ничего не нужно.

Что было исправлено

Подробности уязвимостей мы намеренно не раскрываем — это стандартная практика ответственного разглашения, чтобы не дать готовый сценарий тем, у кого сайт ещё не обновлён.

В общих чертах: исправления повышают защищённость административных страниц модуля и AJAX-обработчиков, ужесточают проверку входящих параметров и приводят работу с внешними HTTPS-сервисами к актуальным стандартам безопасности. Все правки точечные и не меняют пользовательский функционал сайта.

Что нужно сделать владельцу сайта

Порядок действий простой:

1. Сделайте полную резервную копию сайта (файлы + база). Это обязательный шаг перед любым обновлением.
2. Откройте раздел Marketplace → Обновление решений в админке Битрикса и обновите модуль «Некстайп: Альфа» до версии 1.6.0 или выше / «Некстайп: Магнит» до версии 1.8.0 или выше.
3. После обновления очистите кэш сайта (Настройки → Настройки продукта → Автокэширование → Очистить файлы кэша) и проверьте работоспособность ключевых страниц: каталог, карточка товара, оформление заказа, отзывы.

Это правильный и рекомендованный путь. Обновление через Маркетплейс автоматически подтянет все нужные файлы и корректно обработает версии.

Обновление по подписке и без неё

Если у вас активна лицензия на готовое решение, обновления безопасности приходят автоматически и бесплатно. Если что-то пошло не так или нужна помощь с установкой — пишите в нашу техническую поддержку, это входит в подписку.

Если лицензия не продлена, обновления через Маркетплейс недоступны. В этом случае обновление сайта — ваша зона ответственности: либо продлите лицензию и обновитесь штатно, либо примените изменения вручную по инструкции ниже. Помощь с ручным обновлением по неактивной лицензии мы не оказываем.

Ручное обновление: только если автоматическое недоступно

Этот раздел — для тех редких случаев, когда обновление через Маркетплейс невозможно. Если вы можете обновиться штатно — обновляйтесь штатно. Так быстрее, безопаснее и не нарушает структуру модуля.

Архивы с только изменёнными файлами последней сборки:

• nextype.alpha-1.6.0.zip — для «Некстайп: Альфа».
• nextype.magnet-1.8.0.zip — для «Некстайп: Магнит».

Порядок действий

1. Сделайте резервную копию сайта. Без бэкапа дальше не идём.
2. Уточните вашу текущую версию модуля. Настройки → Настройки продукта → Модули, найдите «Некстайп: Альфа» или «Некстайп: Магнит». Версии у разных клиентов отличаются — это важно для следующего шага.
3. Скачайте архив для своего модуля и распакуйте локально.
4. Скопируйте файлы из архива в каталог модуля на сайте с сохранением структуры: для «Альфы» — в /bitrix/modules/nextype.alpha/; для «Магнита» — в /bitrix/modules/nextype.magnet/. Файлы шаблонов из install/wizards/.../site/templates/... лежат в архиве по логике установщика. На реальном сайте они уже скопированы мастером в каталог шаблона вашего сайта (например, /bitrix/templates/alpha/components/... или /bitrix/templates/magnet/components/...). Если вы не правили эти шаблоны вручную — обновите соответствующие файлы и там.
5. Очистите кэш сайта (Настройки → Автокэширование → Очистить файлы кэша) и кэш компонентов.
6. Проверьте ключевые сценарии: открытие каталога, AJAX-подгрузки, форма отзывов, оформление заказа, страницы в админке модуля.

Важные предостережения

• У разных клиентов установлены разные версии модуля и разные сборки шаблонов. Часть файлов из архива у вас может отсутствовать или иметь другую структуру — это нормально. Заменяйте только те файлы, которые реально есть в вашей сборке, остальное игнорируйте.
• Если шаблон сайта дорабатывался под ваш дизайн, не перезаписывайте файлы шаблона «вслепую» — сравните изменения и перенесите правки точечно, иначе потеряете кастомизации.
• Ручное обновление не заменяет штатное и не даёт права на дальнейшую поддержку по неактивной лицензии. Это разовое действие для устранения уязвимости.

Если на каком-то шаге что-то идёт не так — откатывайтесь на бэкап.

Коротко

Обновитесь до «Альфа 1.6.0» или «Магнит 1.8.0» через Маркетплейс — это занимает 5 минут и закрывает все найденные проблемы. Если лицензия активна, техподдержка Некстайп поможет с обновлением бесплатно. Если нет — продлите лицензию или примените изменения вручную по инструкции выше.

Безопасность сайта — это не разовая задача, а регулярная гигиена. Чем быстрее установлено обновление, тем меньше окно, в которое уязвимостью может кто-то воспользоваться.