Durch einen Bug können unter bestimmten Umständen Kunden zu Admins ohne Berechtigung werden. Das bedeutet in der Praxis, das sie nach bisherigen Erkenntnissen keinen Zugang zum Adminbereich bekommen können, jedoch die Adminbox sehen - und somit wertvolle Zahlen wie Kundenanzahl, Bestellanzahl etc.
Die Programmier werden es einen Bug nennen, die BWLer eine Sicherheitslücke
Hier der Bugfix.
Suche in includes/write_customers_status.php
if (isset($_SESSION['customer_id'])) { $customers_status_query_1 = xtc_db_query
("SELECT customers_status FROM " . TABLE_CUSTOMERS
. " WHERE customers_id = '" . $_SESSION['customer_id'] . "'"); Füge danach ein:
if (xtc_db_num_rows
($customers_status_query_1) == 0) { unset($_SESSION['customer_id']); xtc_redirect
(xtc_href_link
(FILENAME_LOGOFF
, '', 'SSL')); } Wir haben schon mehrere Anfragen erhalten, wie genau man diesen Bug nachstellen kann. Ich bitte um Verständnis, das wir das nicht veröffentlicht sehen möchten, da wirklich jeder Laie sonst auf Wirtschaftsspionage gehen könnte. Es war uns jedoch wichtig, den Fix jetzt zu veröffentlichen und nicht auf die 2.0 zu warten.
[
EDIT Tomcraft 17.12.2014: Code
korrigiert.]
[
EDIT h-h-h 17.12.2014: Sicherheitsproblem im Sicherheitsfix behoben (header/exit)]
Linkback: https://www.modified-shop.org/forum/index.php?topic=31789.0