xt:Commerce: Zahlungsarten ständig "von alleine" deaktiviert

[Tomcraft]

Prima, da hab ich ja dann voll ins Schwarze getroffen.

Damit ist die Lücke ja nun gestopft und hat sich nicht nach modified eCommerce Shopsoftware ausgeweitet.

Nun weißt du auch gegen wen du vorgehen kannst, denn Access-Logs wirst du ja haben.

Grüße

Torsten

[luckybaron]

Es wäre nur mal schön zu wissen, wie so etwas kommen kann. Damit man die Lücke stopfen kann.

[Tomcraft]

Die Lücke in xt:Commerce ist doch bekannt und schon "gestopft": Bugfix für SQL Injection für modified eCommerce Shopsoftware Shops vor Version 1.05

In modified eCommerce Shopsoftware haben wir diese Lücke seit Version 1.05 eh nicht mehr.

Grüße

Torsten

[luckybaron]

Alles klar, wieder was gelernt.

[ShopNix]

Schwachstelle für SQL-Injection im Admin-Bereich, customers.php:

Code: PHP  [Auswählen]

$customers1_query = xtc_db_query("select * from ".TABLE_CUSTOMERS." where customers_id = '".$_GET['cID']."'");
                        $customers1 = xtc_db_fetch_array($customers1_query);

                        $customers_query = xtc_db_query("select * from ".TABLE_ADDRESS_BOOK." where customers_id = '".$_GET['cID']."'");
                        $customers = xtc_db_fetch_array($customers_query);
 

[h-h-h]

Damit sollte es geschlossen sein:

Code: PHP  [Auswählen]

$customers1_query = xtc_db_query("select * from ".TABLE_CUSTOMERS." where customers_id = '".(int)$_GET['cID']."'");
            $customers1 = xtc_db_fetch_array($customers1_query);

            $customers_query = xtc_db_query("select * from ".TABLE_ADDRESS_BOOK." where customers_id = '".(int)$_GET['cID']."'");
            $customers = xtc_db_fetch_array($customers_query);

Gruß

h-h-h

[Tomcraft]

Die Lücke wurde in r2017 geschlossen.

Grüße

Torsten