heise.de : Akutes XSS und CSRF-Problem in Online-Shops auf Basis von xt:Commerce

  • http://www.heise.de/newsticker…akut-bedroht-2065104.html


    Hallo zusammen,


    wir haben aktuell noch Eure "V 111 plus" im Einsatz. Kennt Ihr das Security-Problem, das im heise-Artikel gemeint ist?


    Den von Gambio für xtc-kompatible (3.0.4, SP2.1) angebotenen Patch der whos_online.php kann ich im Moment nicht einschätzen, da es einfach zu viele Unterschiede zur gleichnamigen Datei in Eurer Version gibt.


    Bringt Ihr kurzfristig einen eigenen Patch für die v 111 und andere Versionen heraus?


    MfG
    Bernd

  • Hallo Bernd,


    Du kannst es fixen in dem Du bei Zeile 211 in der admin/whos_online.php folgendes ändert.

    Code
    1. while ($whos_online = xtc_db_fetch_array($whos_online_query)) { if($td == 1) $td_zelle = ' dunkel'; else $td_zelle=''; $time_online = ($whos_online['time_last_click'] - $whos_online['time_entry']); if ((!isset($_GET['info']) || (isset($_GET['info']) && ($_GET['info'] == $whos_online['session_id']))) && !isset($info)) { $info = $whos_online['session_id']; }


    sollte dann so ausehen:

    Code
    1. while ($whos_online = xtc_db_fetch_array($whos_online_query)) {
    2. $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']); // XSS EXPLOIT FIX 12/2013
    3. if($td == 1) $td_zelle = ' dunkel'; else $td_zelle='';
    4. $time_online = ($whos_online['time_last_click'] - $whos_online['time_entry']);
    5. if ((!isset($_GET['info']) || (isset($_GET['info']) && ($_GET['info'] == $whos_online['session_id']))) && !isset($info)) {
    6. $info = $whos_online['session_id'];
    7. }


    Weiter sagen.


    3l3ktroniK.