In allen OXID eShops bis einschließlich Version 4.4.1 gibt es einen, nicht ganz unrelevanten, Bug.

Wer keine Lust oder Zeit hat auf die 4.4.2 upzudaten, kann entweder das Adminverzeichnis mit einem HTACCESS-Schutz absichern, oder einfach folgenden Bugfix benutzen.

Datei: /admin/login.php

Methode: public function checklogin()

alter Code:

$this->addTplParam( ‘user’, $sUser );
$this->addTplParam( ‘pwd’, $sPass );
$this->addTplParam( ‘profile’, $sProfile );

ersetzen mit:

$oStr = getStr();
$this->addTplParam( ‘user’, $oStr->htmlspecialchars( $sUser ) );
$this->addTplParam( ‘pwd’, $oStr->htmlspecialchars( $sPass ) );
$this->addTplParam( ‘profile’, $oStr->htmlspecialchars( $sProfile ) );

Link zum offiziellen Security Bulletin: http://wiki.oxidforge.org/Security_bulletins/2010-003

Programmierung bugfix, oxid, security