Не знаю, как сейчас, но года три назад в NoNumber Framework была дыра, через которую под видом апдейта можно было получить всякую фигню от злоумышленников. Я даже сохранил часть обсуждения по этому поводу на форуме самого NoNumber в 2013 году:
"We recently discovered one of our websites was hacked. A search through the directories revealed three harmful scripts. images/j.php, images/jos_bvsk.php, images/jos_nk9z.php. These scripts contained a shell-script. They could literally 'open' any and all files on our website. They had FULL access, to do whatever the hell they wanted to do. The NoNumber framework is the only extension we use, which uses the variable nn_qp. I quote:
loadajax: function(url, succes, fail, query) {
if (url.substr(0, 4) == 'http' || url.substr(0, 4) == '
Для просмотра ссылки Войди или Зарегистрируйся.') {
url = url.replace('
Для просмотра ссылки Войди или Зарегистрируйся', '');
url = 'index.php?nn_qp=1&url='+escape(url);
}
var myXHR = new XHR({
onSuccess: function(data) {
if (succes) {
eval(succes+';');
}
},
onFailure: function(data) {
if (fail) {
eval(fail+';');
}
}
}).send(url, query);
}
This is javascript. I don't quote understand how they managed to upload PHP files using javascript: I always thought it was impossible. But the logs and
Для просмотра ссылки Войди или Зарегистрируйся speak for themselves: THEY DID. Even the latest version of the NoNumber Framework has this exact same piece of code. I checked".
Часть текста я убрал, чтобы не загромождать топик. В-общем, лично я с опаской отношусь к продукции этого разработчика.