Dieser Patch ist in der aktuellen 1.5.4 Version auf SourceForge und im Downloadbereich (Revision 1083 vom 03.12.2015) bereits enthalten!
In Zen Cart 1.5.4 und älter wurden Sicherheitslücken entdeckt.
Der nötige Patch ist an dieses Posting angehängt und sollte umgehend eingespielt werden.
Betroffen sind folgende 3 Dateien:
1.
ajax.php
Diese Datei existiert nur in Zen Cart 1.5.4 deutsch
Lösung:
einfach die bestehende ajax.php mit der aus diesem Patchpaket ersetzen
Für Versionen älter als 1.5.4 deutsch NICHT erforderlich!
Die Sicherheitslücke in der ajax.php wird als schwerwiegend eingestuft, daher die ajax.php umgehend ersetzen, falls Sie Zen Cart 1.5.4 deutsch verwenden
2.
includes/modules/pages/checkout_confirmation/header_php.php
Betroffen sind alle deutschen Zen Cart Versionen 1.5.4 und älter
Lösung:
Die includes/modules/pages/checkout_confirmation/header_php.php mit der aus diesem Patchpaket vergleichen und die Änderung manuell durchführen.
ca. Zeile 51 ändern von:
auf
3.
includes/functions/html_output.php
Betroffen sind alle deutschen Zen Cart Versionen 1.5.4 und älter
Lösung:
Die includes/functions/html_output.php mit der aus diesem Patchpaket vergleichen und die Änderungen manuell durchführen
ca. Zeile 402 ändern von
auf
ca. Zeile 462 ändern von:
auf
In Zen Cart 1.5.4 und älter wurden Sicherheitslücken entdeckt.
Der nötige Patch ist an dieses Posting angehängt und sollte umgehend eingespielt werden.
Betroffen sind folgende 3 Dateien:
1.
ajax.php
Diese Datei existiert nur in Zen Cart 1.5.4 deutsch
Lösung:
einfach die bestehende ajax.php mit der aus diesem Patchpaket ersetzen
Für Versionen älter als 1.5.4 deutsch NICHT erforderlich!
Die Sicherheitslücke in der ajax.php wird als schwerwiegend eingestuft, daher die ajax.php umgehend ersetzen, falls Sie Zen Cart 1.5.4 deutsch verwenden
2.
includes/modules/pages/checkout_confirmation/header_php.php
Betroffen sind alle deutschen Zen Cart Versionen 1.5.4 und älter
Lösung:
Die includes/modules/pages/checkout_confirmation/header_php.php mit der aus diesem Patchpaket vergleichen und die Änderung manuell durchführen.
ca. Zeile 51 ändern von:
Code:
$_SESSION['comments'] = $_POST['comments'];
Code:
$_SESSION['comments'] = zen_output_string_protected($_POST['comments']);
3.
includes/functions/html_output.php
Betroffen sind alle deutschen Zen Cart Versionen 1.5.4 und älter
Lösung:
Die includes/functions/html_output.php mit der aus diesem Patchpaket vergleichen und die Änderungen manuell durchführen
ca. Zeile 402 ändern von
Code:
return zen_draw_input_field($name, $value, $parameters, 'password', true);
Code:
return zen_draw_input_field($name, $value, $parameters, 'password', false);
Code:
function zen_draw_hidden_field($name, $value = '', $parameters = '') { $field = '<input type="hidden" name="' . zen_sanitize_string(zen_output_string($name)) . '"'; if (zen_not_null($value)) { $field .= ' value="' . zen_output_string($value) . '"'; } elseif (isset($GLOBALS[$name]) && is_string($GLOBALS[$name])) { $field .= ' value="' . zen_output_string(stripslashes($GLOBALS[$name])) . '"'; }
Code:
function zen_draw_hidden_field($name, $value = '~*~*#', $parameters = '') { $field = '<input type="hidden" name="' . zen_sanitize_string(zen_output_string($name)) . '"'; if (zen_not_null($value) && $value != '~*~*#') { $field .= ' value="' . zen_output_string($value) . '"'; } elseif (isset($GLOBALS[$name]) && is_string($GLOBALS[$name])) { $field .= ' value="' . zen_output_string(stripslashes($GLOBALS[$name])) . '"'; }