Antwort #7 am: 27. Juni 2012, 00:49:44
Nun hab ich mir doch ein wenig mehr Zeit genommen und bin dem nachgegangen.
Der Securitycheck in xtc_access.php arbeitet mit der GET-Variable sid über die sie den Status des Nutzers abfragt. Dieser wird in der browser.php in Zeile 104 mitgeliefert.
sUrl += '&sid=' + GetUrlParam( 'XTCsid' ) ;
GetUrlParam wiederum liest via JavaScript die GET-Werte des Aufrufs. Hier wird die Variable XTCsid verlangt. Das Frameset für den Fileuploader findet man in derselben Datei ab Zeile 188 und sieht in keinem Frame src das dort ein XTCsid mitgeschickt wird.
Da ich derzeit kein Testshop installiert habe, kann ich nun leider nicht austesten bei welchem Frame das XTCsid mit beigepackt werden muss damit es funktioniert.