CONTENIDO Forum

In vielen Terminmodulen, die hier im Forum in den verschiedensten Varianten existieren gibt es einen schwerwiegenden Fehler:

Im Eingabemodul der Termine wird die Prüfung, ob der Artikel im Edit Modus geöffnet wird über folgende IF Abfrage geprüft:
rufe ich nun aus dem Frontend als Besucher einer Seite solch einen Termin auf und ergänze anschließend die URL in der Adresszeile um &changeview=edit, dann kann ich den Termineintrag ändern, löschen, manipulieren.

Lösung:
Die if Abfrage durch: ersetzen.

Ich habe bereits die Halchteranerin informiert und auch meine Version der Terminliste geändert. Leider gibt es den Code der Terminliste in vielen diversen Forenbeiträge und die Moderatoren können nicht alle ändern!

Gruß
schlaucher

DANKE !

Entwarnung für User die i-fekt Kalender im Einsatz haben oder andere Module von mir.

Bei allen von mir erstellten Modulen gibt es diese Sicherheitslücke nicht, alle Nutzer meiner Module (Galerie, Kalender, rating usw.) können unbesorgt sein. Auch ältere Versionen von Modulen sind nicht betroffen.

ich habe die "Terminliste universal V 2.4" von Dir im Einsatz, da scheint das Problem nicht zu bestehen, oder irre ich da?

Dunsti hat geschrieben:ich habe die "Terminliste universal V 2.4" von Dir im Einsatz, da scheint das Problem nicht zu bestehen, oder irre ich da?

Ab der Version 2.4.1 ist das Problem behoben!

Alle älteren Versionen müssen selbst gepatcht werden.

Gruß
schlaucher

ah ok ... ich hab die 2.4.1