heise.de : Akutes XSS und CSRF-Problem in Online-Shops auf Basis von xt:Commerce

  • [URL='http://www.heise.de/newsticker/meldung/Tausende-Online-Shops-auf-Basis-von-xt-Commerce-akut-bedroht-2065104.html']http://www.heise.de/newsticker/meldung/Tausende-Online-Shops-auf-Basis-von-xt-Commerce-akut-bedroht-2065104.html[/URL] Hallo zusammen, wir haben aktuell noch Eure "V 111 plus" im Einsatz. Kennt Ihr das Security-Problem, das im heise-Artikel gemeint ist? Den von Gambio für xtc-kompatible (3.0.4, SP2.1) angebotenen Patch der whos_online.php kann ich im Moment nicht einschätzen, da es einfach zu viele Unterschiede zur gleichnamigen Datei in Eurer Version gibt. Bringt Ihr kurzfristig einen eigenen Patch für die v 111 und andere Versionen heraus? MfG Bernd
  • Hallo Bernd, Du kannst es fixen in dem Du bei Zeile 211 in der admin/whos_online.php folgendes ändert. [code]while ($whos_online = xtc_db_fetch_array($whos_online_query)) { if($td == 1) $td_zelle = ' dunkel'; else $td_zelle=''; $time_online = ($whos_online['time_last_click'] - $whos_online['time_entry']); if ((!isset($_GET['info']) || (isset($_GET['info']) && ($_GET['info'] == $whos_online['session_id']))) && !isset($info)) { $info = $whos_online['session_id']; }[/code] sollte dann so ausehen: [code]while ($whos_online = xtc_db_fetch_array($whos_online_query)) { $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']); // XSS EXPLOIT FIX 12/2013 if($td == 1) $td_zelle = ' dunkel'; else $td_zelle=''; $time_online = ($whos_online['time_last_click'] - $whos_online['time_entry']); if ((!isset($_GET['info']) || (isset($_GET['info']) && ($_GET['info'] == $whos_online['session_id']))) && !isset($info)) { $info = $whos_online['session_id']; }[/code] Weiter sagen. 3l3ktroniK.