Der angehängte Patch ist geeignet für folgende deutsche Zen Cart Versionen:
1.5.4
1.5.3
1.5.1
1.5.0
Der Patch behebt eine XSS Sicherheitslücke im Adminbereich.
Um diese Lücke überhaupt ausnutzen zu können müsste allerdings bereits Zugriff auf den Adminbereich bestehen.
Trotzdem wird empfohlen, den Patch umgehend einzuspielen.
DEINADMIN auf den Namen des Adminverzeichnisses umbenennen und dann in der vorgegebenen Struktur hochladen.
Dabei wird die bestehenden Datei DEINADMIN/includes/init_includes/init_sanitize.php überschrieben.
Die Datei DEINADMIN/includes/classes/AdminRequestSanitizer.php ist neu.
Dieser Patch ist in der kommenden deutschen Zen Cart Version 1.5.5 bereits enthalten.
ACHTUNG:
Dieser Patch ist sehr restriktiv und erlaubt die ungefilterte Eingabe von HTML Code nur noch in den dafür vorgesehenen Standardfeldern in der Datenbank, z.B. in der Tabelle products_description im Feld products_description.
Falls Sie die Datenbank mit Zusatzfeldern erweitert haben, die HTML Code aufnehmen müssen, dann sind Anpassungen nötig in der DEINADMIN/includes/init_includes/init_sanitize.php
Beispiel:
Das Modul Google Merchant Center erweitert die Tabelle products um das Feld products_taxonomy
In dieses Feld müssen die in der Administration eingegebenen Trennzeichen > unverändert übernommen werden. Das Feld muss daher von der Bereinigung ausgenommen werden:
ca. Zeile 211 definiert die Felder, in den HTML Code unverändert erlaubt wird:
Hier muss dann also das Feld products_taxonomy ergänzt werden:
Typische andere Erweiterungen, die solche neuen Felder anlegen könnten, sind z.B. zusätzliche Kurzbeschreibungen (products_short_desc) für die Artikelbeschreibungen oder zusätzliche Kategoriebeschreibungsfelder. Wenn Ihnen nach Einspielen dieses Patches auffällt. dass HTML Zeichen wie <br/> beim Bearbeiten von Artikeldetails in Ihren Zusatzfeldern nicht übernommen oder verändert übernommen werden, dann müssen Sie Ihre Datenbankfelder entsprechend nachtragen.
Hinweise zum Deaktivieren der strengen neuen Funktionen und Hinweise für Modulautoren zum Anpassen ihrer Plugins hier:
1.5.4
1.5.3
1.5.1
1.5.0
Der Patch behebt eine XSS Sicherheitslücke im Adminbereich.
Um diese Lücke überhaupt ausnutzen zu können müsste allerdings bereits Zugriff auf den Adminbereich bestehen.
Trotzdem wird empfohlen, den Patch umgehend einzuspielen.
DEINADMIN auf den Namen des Adminverzeichnisses umbenennen und dann in der vorgegebenen Struktur hochladen.
Dabei wird die bestehenden Datei DEINADMIN/includes/init_includes/init_sanitize.php überschrieben.
Die Datei DEINADMIN/includes/classes/AdminRequestSanitizer.php ist neu.
Dieser Patch ist in der kommenden deutschen Zen Cart Version 1.5.5 bereits enthalten.
ACHTUNG:
Dieser Patch ist sehr restriktiv und erlaubt die ungefilterte Eingabe von HTML Code nur noch in den dafür vorgesehenen Standardfeldern in der Datenbank, z.B. in der Tabelle products_description im Feld products_description.
Falls Sie die Datenbank mit Zusatzfeldern erweitert haben, die HTML Code aufnehmen müssen, dann sind Anpassungen nötig in der DEINADMIN/includes/init_includes/init_sanitize.php
Beispiel:
Das Modul Google Merchant Center erweitert die Tabelle products um das Feld products_taxonomy
In dieses Feld müssen die in der Administration eingegebenen Trennzeichen > unverändert übernommen werden. Das Feld muss daher von der Bereinigung ausgenommen werden:
ca. Zeile 211 definiert die Felder, in den HTML Code unverändert erlaubt wird:
Code:
$group = array('products_description', 'coupon_desc', 'file_contents', 'categories_description', 'message_html', 'banners_html_text', 'pages_html_text', 'comments'); $sanitizer->addSanitizationGroup('PRODUCT_DESC_REGEX', $group);
Code:
$group = array('products_description', [COLOR=#ff0000]'products_taxonomy'[/COLOR], 'coupon_desc', 'file_contents', 'categories_description', 'message_html', 'banners_html_text', 'pages_html_text', 'comments'); $sanitizer->addSanitizationGroup('PRODUCT_DESC_REGEX', $group);
Hinweise zum Deaktivieren der strengen neuen Funktionen und Hinweise für Modulautoren zum Anpassen ihrer Plugins hier: