In der letzten Woche wurde eine Sicherheitslücke für xt:Commerce 3.04 und Forks aufgedeckt. Nun gibt es dazu einen Patch. Bei xtcModified ist die Lücke ab der Version 1.05 SP1 geschlossen.
Für xt:Commerce 3,04x und ein paar Forks gibt es den Patch hier:
http://www.xtc-load.de/2012/06/wichtiges-security-update-fur-alle-xtc-forks/
Für alle die Ihre Datei admin/includes/application_top.php modifiziert haben, hier eine Anleitung zum manuellen Umbau:
suchen Sie in der Datei admin/includes/application_top.php nach folgendem Code:
$current_page = split('?', basename($_SERVER['PHP_SELF']));
$current_page = $current_page[0];
if (file_exists(DIR_FS_LANGUAGES . $_SESSION['language'] . '/admin/'.$current_page)) {
include(DIR_FS_LANGUAGES . $_SESSION['language'] . '/admin/'. $current_page);
}
// write customers status in session
require('../' . DIR_WS_INCLUDES . 'write_customers_status.php');
Und ersetzten Sie das mit folgendem Code :
$current_page = explode('?', basename($_SERVER['PHP_SELF']));
$current_page = $current_page[0];
if (file_exists(DIR_FS_LANGUAGES . $_SESSION['language'] . '/admin/'.$current_page)) {
include(DIR_FS_LANGUAGES . $_SESSION['language'] . '/admin/'. $current_page);
}
// write customers status in session
require('../' . DIR_WS_INCLUDES . 'write_customers_status.php');
if(file_exists($current_page) == false
|| $_SESSION['customers_status']['customers_status_id'] !== '0') {
xtc_redirect(xtc_href_link(FILENAME_LOGIN));
}