Sicherheitslücke in Terminmodulen

schlaucher · Beitrag von **schlaucher** » Mo 6. Nov 2006, 19:52

In vielen Terminmodulen, die hier im Forum in den verschiedensten Varianten existieren gibt es einen schwerwiegenden Fehler:

Im Eingabemodul der Termine wird die Prüfung, ob der Artikel im Edit Modus geöffnet wird über folgende IF Abfrage geprüft:

Code: Alles auswählen

if(strstr($REQUEST_URI,"changeview=edit") || $submit=="editcontent" || strstr($REQUEST_URI,"area=con_editcontent"))

rufe ich nun aus dem Frontend als Besucher einer Seite solch einen Termin auf und ergänze anschließend die URL in der Adresszeile um &changeview=edit, dann kann ich den Termineintrag ändern, löschen, manipulieren.

Lösung:
Die if Abfrage durch:

Code: Alles auswählen

if($edit)

ersetzen.

Ich habe bereits die Halchteranerin informiert und auch meine Version der Terminliste geändert. Leider gibt es den Code der Terminliste in vielen diversen Forenbeiträge und die Moderatoren können nicht alle ändern!

Gruß
schlaucher

Seelauer · Beitrag von **Seelauer** » Mo 6. Nov 2006, 20:40

DANKE !

i-fekt · Beitrag von **i-fekt** » Mo 6. Nov 2006, 23:59

Entwarnung für User die i-fekt Kalender im Einsatz haben oder andere Module von mir.

Bei allen von mir erstellten Modulen gibt es diese Sicherheitslücke nicht, alle Nutzer meiner Module (Galerie, Kalender, rating usw.) können unbesorgt sein. Auch ältere Versionen von Modulen sind nicht betroffen.

Dunsti · Beitrag von **Dunsti** » Di 7. Nov 2006, 11:33

ich habe die "Terminliste universal V 2.4" von Dir im Einsatz, da scheint das Problem nicht zu bestehen, oder irre ich da?

schlaucher · Beitrag von **schlaucher** » Di 7. Nov 2006, 13:01

Dunsti hat geschrieben:ich habe die "Terminliste universal V 2.4" von Dir im Einsatz, da scheint das Problem nicht zu bestehen, oder irre ich da?

Ab der Version 2.4.1 ist das Problem behoben!

Alle älteren Versionen müssen selbst gepatcht werden.

Gruß
schlaucher

Dunsti · Beitrag von **Dunsti** » Di 7. Nov 2006, 20:09

ah ok ... ich hab die 2.4.1