"This file uploader is disabled." - FCK Editor

[maik]

Hallo zusammen,

ich bin neu in Sachen XTC Modified und stosse bereits auf ein Problem:

Beim Upload (Bildupload im FCK Editor) wird immer folgende Meldung ausgegeben:

This file uploader is disabled.Please check the "editor/filemanager/connectors/php/config.php" file

So ... dann checke ich diese, habe auch schon von false auf true gestellt ... egal, was ich mache, diese Meldung verfolgt mich noch im Schlaf. Nach dieser Meldung habe ich auch bereits hier im Forum gesucht - leider ohne Erfolg. Ich vermute mal, der Uploader wurde aus Sicherheitsgründen deaktiviert?

Hoster: all-inkl.com
Version: V1.05 SP1d

Wie bekomme ich den Upload überhaupt wieder zum Laufen (sicher) ??

Vielen Dank für Euere Hilfe ...

[EDIT web28 Fix Datei hinzugefügt: Bitte diese Dateien in den Admin kopieren
(Der FIX ist kein Sicherheitsrisiko sondern schaltet die Upload Funktion nur für eingeloggte Admins frei!) SP1d_fix_001.zip entfernt.]
[EDIT web28 25.08.2012: Bitte diesen Sicherheits Fix installieren: Sicherheits-Fix für modified eCommerce Shopsoftware 1.05 Shops (egal welches Service-Pack)]

Linkback: https://www.modified-shop.org/forum/index.php?topic=20815.0

[cYbercOsmOnauT]

Im selben Verzeichnis findest Du die Datei xyz.php. Dort siehst Du folgende Zeile

[EDIT h-h-h 10.07.2012: Sicherheitslücke entfernt, der richtige Weg steht in diesem Thema]

Jedoch schaltest Du damit den darauf folgenden Security Check ab. Das sollte Dir bewusst sein.

[h-h-h]

Sehr schlechte Idee cYbercOsmOnauT, damit öffnest du dann die geschlossene Sicherheitslücke wieder.
Da scheint ein Bug zu sein, welchen wir uns genauer anschauen werden.

Vielen Dank für das Feedback

h-h-h

EDIT: Beitrag bearbeiten zählt nicht 

[cYbercOsmOnauT]

Das lass mal meine Sorge sein, ob das ne schlechte Idee ist. Ich warne extra davor das man den Security Check damit aushebelt.

Oder möchtest Du sie lieber warten lassen bis es irgendwann nen Fix gibt? Es ist der Adminbereich und da kommt man sowieso nicht so einfach hin, richtig?

Und beim Editieren des Beitrags habe ich die Warnung nur nochmal unterstrichen, damit es noch deutlicher wird.

[h-h-h]

Jedoch schaltest Du damit den darauf folgenden Security Check ab. Das sollte Dir bewusst sein.

Der Satz war als ich den Beitrag gelesen habe noch nicht enthalten!

[cYbercOsmOnauT]

Ihm wurde geholfen. Korrekt? Ja! Also Thema durch.

[h-h-h]

Ich vermute es liegt am $_REQUEST, ich glaube das Problem ist schon bekannt.
web28 hat mir da schon was drüber erzählt, wird morgen vermutlich gefixt sein.

Bitte den Tipp von cYbercOsmOnauT nicht dauerhaft im Live-Shop verwenden.

Besten Gruß

h-h-h

[cYbercOsmOnauT]

Nun hab ich mir doch ein wenig mehr Zeit genommen und bin dem nachgegangen.

Der Securitycheck in xtc_access.php arbeitet mit der GET-Variable sid über die sie den Status des Nutzers abfragt. Dieser wird in der browser.php in Zeile 104 mitgeliefert.

Code: PHP  [Auswählen]

sUrl += '&sid=' + GetUrlParam( 'XTCsid' ) ;

GetUrlParam wiederum liest via JavaScript die GET-Werte des Aufrufs. Hier wird die Variable XTCsid verlangt. Das Frameset für den Fileuploader findet man in derselben Datei ab Zeile 188 und sieht in keinem Frame src das dort ein XTCsid mitgeschickt wird.

Da ich derzeit kein Testshop installiert habe, kann ich nun leider nicht austesten bei welchem Frame das XTCsid mit beigepackt werden muss damit es funktioniert.

[web28]

Das 1d Paket hatte ich auf einem all-inkl Webpaket getestet. Es gab keine Probleme.

Wurde evtl. eine Datei nicht hochgeladen?

Gruss Web28

[maik]

Danke erstmal für die schnelle Hilfe / Aufklärung. Die Sicherheit möchte ich natürlich nicht gefährden ... verstehe ich das richtig, dass dieses Problem bekannt ist und in Bälde gefixt wird, so dass der Fileupload mittels Update dann wieder aktiviert wird?

[web28]

Habe eine Fix Datei in Posting 1 hinzugefügt

http://www.modified-shop.org/forum/index.php?topic=20815.msg194181#msg194181

[maik]

Hallo web28,

danke für die schnelle Reaktion. Habe die Datei hochgeladen - gleiches Ergebnis. Dieselbe Meldung wie in meinem ersten Post. Muss ich noch etwas beachten?

[web28]

Browsercache muss total geleert werden. Ansonsten wird die Änderung nicht übernommen.
Oder teste mit einem anderen Browser.

[maik]

4 Browser versucht: Firefox, Chrome, IE, Safari ... egal, welchen Browser ich nehme ... ich versuche mal den Cache ...

- geleerter Browsercache bringt nichts - dieselbe Meldung

...wir reden übrigens vom Contentmanager - richtig?

[Sickk1]

Also bei mir geht der FIX auch nicht.
Egal in welchem Browser.