Hallo,
in xtc wurde eine Sicherheitslücke entdeckt.
http://www.internet-service-backes.de/download/sql_injection_fix_xtcPC-S-B.zipÄnderunegn durch den Patch:
In Datei
\inc\xtc_validate_email.inc.php
Nach den Zeilen
function xtc_validate_email($email) {
$valid_address = true;Folgendes Einfügen
// sql injection fix 16.02.2011
if (strpos($email,"\0")!==false) {return false;}In Datei
password_double_opt.php
Etwa Zeile 87
xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".$check_customer['customers_email_address']."'");Ändern in
xtc_db_query("update ".TABLE_CUSTOMERS." set customers_password = '".$crypted_password."' where customers_email_address = '".xtc_db_input($check_customer['customers_email_address'])."'");Ab xtcPC-S-B v.0.4 können die vorhandenen Dateien mit denenen im Anhang einfach überschrieben werden,
wenn keine Eigenen Änderungen an den Dateien vorgenommen wurden.
In Vorherige oder Modifizierte Versionen sollte das von Hand eingebaut werden.
Gruß
genndus
Autor
Thema: Bugfix für SQL Injection (Gelesen 9685 mal)