heise.de : Akutes XSS und CSRF-Problem in Online-Shops auf Basis von xt:Commerce

  • http://www.heise.de/newsticker/mel…ht-2065104.html

    Hallo zusammen,

    wir haben aktuell noch Eure "V 111 plus" im Einsatz. Kennt Ihr das Security-Problem, das im heise-Artikel gemeint ist?

    Den von Gambio für xtc-kompatible (3.0.4, SP2.1) angebotenen Patch der whos_online.php kann ich im Moment nicht einschätzen, da es einfach zu viele Unterschiede zur gleichnamigen Datei in Eurer Version gibt.

    Bringt Ihr kurzfristig einen eigenen Patch für die v 111 und andere Versionen heraus?

    MfG
    Bernd

    Einmal editiert, zuletzt von bernd888 (13. Dezember 2013 um 04:15)

  • Hallo Bernd,

    Du kannst es fixen in dem Du bei Zeile 211 in der admin/whos_online.php folgendes ändert.

    Code
    while ($whos_online = xtc_db_fetch_array($whos_online_query)) {				  	if($td == 1) $td_zelle = ' dunkel'; else $td_zelle='';				    $time_online = ($whos_online['time_last_click'] - $whos_online['time_entry']);				    if ((!isset($_GET['info']) || (isset($_GET['info']) && ($_GET['info'] == $whos_online['session_id']))) && !isset($info)) {				      $info = $whos_online['session_id'];				    }

    sollte dann so ausehen:

    Code
    while ($whos_online = xtc_db_fetch_array($whos_online_query)) {
              $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']); // XSS EXPLOIT FIX 12/2013
    				  	if($td == 1) $td_zelle = ' dunkel'; else $td_zelle='';
    				    $time_online = ($whos_online['time_last_click'] - $whos_online['time_entry']);
    				    if ((!isset($_GET['info']) || (isset($_GET['info']) && ($_GET['info'] == $whos_online['session_id']))) && !isset($info)) {
    				      $info = $whos_online['session_id'];
    				    }

    Weiter sagen.

    3l3ktroniK.