Sign in to follow this  
Followers 0
mzanier

Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1

1 post in this topic

#####

Bugfix für SQL Injection - Version xt:Commerce 3.0.4 SP2.1

16.02.2011 - xt:Commerce GmbH

#####

Download Patch

Installation

Ersetzen Sie die Datein password_double_opt.php und inc/xtc_validate_email.inc.php

##############################

Einstufung - HOCH/Critical!

##############################

Durch einen Bug in der php funktion eregi (nullbyte injection) kann durch eine Attacke das Administrator Passwort

auf ein beliebiges Passwort gesetzt werden und somit Zugriff auf den Shop erlangt werden.

Aus Sicherheitsgründen wird die genaue vorgehensweise nicht näher dargelegt.

Eine installation des Patches ist sofort durchzuführen und empfohlen.

##############################

Hinweis:

##############################

xt:Commerce Version 3.0.4 ist bereits end-of-Life und erfährt keinen Hersteller Support mehr.

Wir empfehlen den wechsel auf aktuellere Versionen (4.0.13), respektive auf die kostenlose xt:Commerce 4.0 Community Version (erscheint 1.4.2011)

Version 4 ist hiervon NICHT betroffen.

xtc_banner_community_newsletter.png

Edited by mzanier

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  
Followers 0