Beiträge von 3l3ctronik_Su$hi

  • heise.de : Akutes XSS und CSRF-Problem in Online-Shops auf Basis von xt:Commerce

    Hallo Bernd,

    Du kannst es fixen in dem Du bei Zeile 211 in der admin/whos_online.php folgendes ändert.

    Code
    while ($whos_online = xtc_db_fetch_array($whos_online_query)) {				  	if($td == 1) $td_zelle = ' dunkel'; else $td_zelle='';				    $time_online = ($whos_online['time_last_click'] - $whos_online['time_entry']);				    if ((!isset($_GET['info']) || (isset($_GET['info']) && ($_GET['info'] == $whos_online['session_id']))) && !isset($info)) {				      $info = $whos_online['session_id'];				    }

    sollte dann so ausehen:

    Code
    while ($whos_online = xtc_db_fetch_array($whos_online_query)) {
          $whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']); // XSS EXPLOIT FIX 12/2013
				  	if($td == 1) $td_zelle = ' dunkel'; else $td_zelle='';
				    $time_online = ($whos_online['time_last_click'] - $whos_online['time_entry']);
				    if ((!isset($_GET['info']) || (isset($_GET['info']) && ($_GET['info'] == $whos_online['session_id']))) && !isset($info)) {
				      $info = $whos_online['session_id'];
				    }

    Weiter sagen.

    3l3ktroniK.