Aufgrund eines von Gambio durchgeführten Security-Checks konnte eine gravierende Sicherheitslücke identifiziert werden.
Durch diese Lücke können sich Unbefugte einen Admin-Zugang anlegen und so den gesamten Shop unter ihre Kontrolle bringen.
Betroffen sind alle GX-I-Versionen und alle GX-II-Versionen bis einschließlich 2.0.13.3
Ab Version 2.0.14 ist die Sicherheitslücke bereits geschlossen.
Dieser Patch ist für alle Gambio GX Versionen (GX-I und GX-II) bis einschließlich 2.0.13.3 geeignet.
Die Installation wird dringend empfohlen.
Den Patch gibt es jetzt hier im Downloadbereich.
Der Patch besteht eigentlich nur aus einer geänderten Datei, der whos_online.php
Dieses Script wird benötigt um sich im Backend eine Liste aller aktuellen Besucher anzeigen zu lassen.
Wer sich seine whos_online.php bereits angepasst hat (so wie ich), kann den Patch auch einfach von Hand einbauen.
Öffnen: /admin/whos_online.php
Finden: (normalerweise um Zeile 72)
PHP-Code:
while ($whos_online = xtc_db_fetch_array($whos_online_query)) {
$time_online = (time() - $whos_online['time_entry']);
Ersetzen mit:
PHP-Code:
while ($whos_online = xtc_db_fetch_array($whos_online_query)) {
$whos_online['last_page_url'] = htmlentities($whos_online['last_page_url']);
$time_online = (time() - $whos_online['time_entry']);
Die restlichen Änderungen betreffen nur die Versions- und Copyright-Info im Script und die Patch-Info.