Es gibt eine Lücke in der aktuellen XT Commerce Installation (und vermutlich auch in allen nennenswerten davor):
Sicherheitsupdate für Shopversion 3.0.4 SP2.1 vor dem 20.11.2008.
Sicherheitsrisiko: Hoch (bei aktivierten SEO Urls und aktivierten magic_quotes)
Für alle die jetzt um Ihre angepassten Dateien fürchten: Die Änderungen halten sich äußerst in Grenzen und sollten ganz leicht händisch einzuarbeiten sein.
Datei includes/modules/metatags.php (~ Zeile 86):
Ersetze
WHERE content_group='“ . (int)$_GET[‚coID‘] . „‚ and
durch
WHERE content_group='“ . (int)$_GET[‚coID‘] . „‚ and
Datei includes/application_top.php
~ Zeile 213 Suche nach
$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);
folgende Zeile darunter setzen:
if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);
~ Zeile 221 Suche nach
$_GET[$key] = htmlspecialchars($value);
Folgende Zeile darunter setzen:
if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);
Ich habe auch Patches mit Winmerge (anhand der Standarddateien) erstellt. Der für metags.php befindet sich hier: metatags, der für application_top.php hier: application_top