URL-Injection? ..

[Matz82]

Hallo Dodger77,

in der Zeile 119 steht:

Code: Alles auswählen

 $db->query($sql);

[Dodger77]

Dann wird das wohl nicht die Datei aus dem 4.6.22- bzw. 4.6.23-Download sein. Das sieht nach 4.6.8 oder vorher aus. Vergleich die beiden Dateien doch mal miteinander (z.B. mit Winmerge).

[Matz82]

hmm.. ich lad mir morgen gleich mal die "Roh-Version" der 4.6.23 nochmal neu runter und vergleich die mal mit meiner.

Bericht folgt ...

Danke erstmal

[wosch]

Code: Alles auswählen

 $db->query($sql);

Bis Version 4.6.8.x steht in Zeile 119 dieser Code,
ab Version 4.6.15 und neuer ist der Code dort in Zeile 119 anders.

Bei der URL-Injection spielt die front_content.php eine Hauptrolle,
und bis zur 4.6.8.5 war sie dafür anfällig.

[Matz82]

Also sollte ich am besten jetzt die Version xx.23 hochladen und dann meine daten da frisch einfügen? ... inkl. DB

[Contenider]

@Matz82

Ich frage jetzt noch einmal zum Verständnis, hast Du die aktuell auf dem Server eingesetzte Version 4.6.23 von einer Version unter 4.6.15 aktualisiert? Wenn nicht, dann würde es bedeuten dass es weitere Sicherheitslücken gibt.

@Holger.Librenz

Hast Du da vielleicht Informationen zu?

[Matz82]

Hallo,

ich kann es nicht mit 100%iger Sicherheit sagen, aber ich bin eigentlich fest der Meinung, das ich über 4.6.15 hochgeladen hab.

kann man das zurückverfolgen irgendwo? ... (log?)

[Dodger77]

Die "cms/front_content.php" stammt definitiv aus einer Version vor 4.6.15. Das haben wosch und ich doch oben bereits geschrieben. Woher diese Datei kommt, kann wahrscheinlich nur Matz etwas sagen. Bei einem Update dürfte dabei der Mandantenordner vergessen worden sein oder es wurde eine (evtl. angepasste) "cms/front_content.php" aus einem alten Projekt (vor 4.6.15) übernommen.

kann man das zurückverfolgen irgendwo? ... (log?)

Das dürfte IMO nicht möglich sein.