Dieser Beitrag ist älter als drei Jahre. Es könnte also sein, dass auch der Inhalt - zumindest in Teilen - bereits veraltet ist.

Sicherheitsupdate für XT Commerce 3.0.4 SP2.1

Es gibt eine Lücke in der aktuellen XT Commerce Installation (und vermutlich auch in allen nennenswerten davor):

Sicherheitsupdate für Shopversion 3.0.4 SP2.1 vor dem 20.11.2008.
Sicherheitsrisiko: Hoch (bei aktivierten SEO Urls und aktivierten magic_quotes)

Für alle die jetzt um Ihre angepassten Dateien fürchten: Die Änderungen halten sich äußerst in Grenzen und sollten ganz leicht händisch einzuarbeiten sein.

Datei includes/modules/metatags.php (~ Zeile 86):
Ersetze

WHERE content_group='“ . (int)$_GET[‚coID‘] . „‚ and

durch

WHERE content_group='“ . (int)$_GET[‚coID‘] . „‚ and

Datei includes/application_top.php

~ Zeile 213 Suche nach

$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);

folgende Zeile darunter setzen:

if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);

~ Zeile 221 Suche nach

$_GET[$key] = htmlspecialchars($value);

Folgende Zeile darunter setzen:

if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);

Ich habe auch Patches mit Winmerge (anhand der Standarddateien) erstellt. Der für metags.php befindet sich hier: metatags, der für application_top.php hier: application_top