Es wurde eine Sicherheitslücke in allen Zen-Cart Versionen bis inklusive 1.3.8 entdeckt, die es Angreifern ermöglichen könnte XSS oder CSRF Attacken durchzuführen.
Generelle Infos zu XSS auf:
Generelle Infos zu CSRF auf:
Auch wenn Sie Ihr admin-Verzeichnis umbenannt haben, sollten Sie folgende Änderungen in folgenden 3 Dateien durchführen, um Ihren Zen-Cart Shop abzusichern. Die angegebenen Zeilennummern beziehen sich auf Zen-Cart 1.3.8, für ältere Versionen können die Zeilennummern abweichen.
1)
IHRADMINVERZEICHNIS/index.php
Fügen Sie in ca. Zeile 135 die rot gekennzeichneten Zeilen ein
2)
IHRADMINVERZEICHNIS/customers.php
Fügen Sie in ca. Zeile 1173 die rot gekennzeichnete Zeile ein:
3)
IHRADMINVERZEICHNIS/sqlpatch.php
(Die Änderung in dieser Datei ist nur relevant für Zen-Cart Versionen ab 1.3.5)
Fügen Sie in ca. Zeile 808 das rot gekennzeichnete (bool) ein:
Generelle Infos zu XSS auf:
Generelle Infos zu CSRF auf:
Auch wenn Sie Ihr admin-Verzeichnis umbenannt haben, sollten Sie folgende Änderungen in folgenden 3 Dateien durchführen, um Ihren Zen-Cart Shop abzusichern. Die angegebenen Zeilennummern beziehen sich auf Zen-Cart 1.3.8, für ältere Versionen können die Zeilennummern abweichen.
1)
IHRADMINVERZEICHNIS/index.php
Fügen Sie in ca. Zeile 135 die rot gekennzeichneten Zeilen ein
Code:
while (!$customers->EOF) { [COLOR=Red]$customers->fields['customers_firstname'] = zen_output_string_protected($customers->fields['customers_firstname']); $customers->fields['customers_lastname'] = zen_output_string_protected($customers->fields['customers_lastname']);[/COLOR] echo ' <div class="row"><span class="left"><a href="' . zen_href_link(FILENAME_CUSTOMERS ....(weitere Code hier aus Platzgründen abgeschnitten)........
IHRADMINVERZEICHNIS/customers.php
Fügen Sie in ca. Zeile 1173 die rot gekennzeichnete Zeile ein:
Code:
default: if (isset($cInfo) && is_object($cInfo)) { [COLOR=Red]if (isset($_GET['search'])) $_GET['search'] = zen_output_string_protected($_GET['search']);[/COLOR] $customers_orders = $db->Execute("select o.orders_id, o.date_purchased, o.order_total, o.currency, o.currency_value,
IHRADMINVERZEICHNIS/sqlpatch.php
(Die Änderung in dieser Datei ist nur relevant für Zen-Cart Versionen ab 1.3.5)
Fügen Sie in ca. Zeile 808 das rot gekennzeichnete (bool) ein:
Code:
<?php if (isset($_GET['nogrants'])) echo '<input type="hidden" id="nogrants" name="nogrants" value="'.[COLOR=Red](bool)[/COLOR]$_GET['nogrants'].'" />'; ?>