am: 03. Mai 2016, 20:13:57
Meine Debian Security Mailing Liste informierte mich eben über einen Bug in Smarty3:
Smarty3, a template engine for PHP, allowed remote attackers to bypass
the secure mode restrictions and execute arbitrary PHP code as
demonstrated by "{literal}<{/literal}script language=php>" in a
template.
For Debian 7 "Wheezy", these problems have been fixed in version
3.1.10-2+deb7u1.
Nun weiß ich zwar, dass in Shop Version 2.0 Smarty3 enthalten ist oder doch sein kann, aber nicht ob diese Version von dem genannten Bug betroffen ist. Ein weiter führender Link ist in der Nachricht leider nicht enthalten.
Linkback: https://www.modified-shop.org/forum/index.php?topic=34947.0