Home > Programmierung > Bugfix OXID Security Bulletin 2010-003

Bugfix OXID Security Bulletin 2010-003

In allen OXID eShops bis einschließlich Version 4.4.1 gibt es einen, nicht ganz unrelevanten, Bug.

Wer keine Lust oder Zeit hat auf die 4.4.2 upzudaten, kann entweder das Adminverzeichnis mit einem HTACCESS-Schutz absichern, oder einfach folgenden Bugfix benutzen.

Datei: /admin/login.php

Methode: public function checklogin()

alter Code:

$this->addTplParam( ‘user’, $sUser );
$this->addTplParam( ‘pwd’, $sPass );
$this->addTplParam( ‘profile’, $sProfile );

ersetzen mit:

$oStr = getStr();
$this->addTplParam( ‘user’, $oStr->htmlspecialchars( $sUser ) );
$this->addTplParam( ‘pwd’, $oStr->htmlspecialchars( $sPass ) );
$this->addTplParam( ‘profile’, $oStr->htmlspecialchars( $sProfile ) );

Link zum offiziellen Security Bulletin: http://wiki.oxidforge.org/Security_bulletins/2010-003

Programmierung , ,

  1. Bisher keine Kommentare
  1. Bisher keine Trackbacks