XSS-Lücke im Plugin "Custom Pages" von nmichel (WCF 2)

  • Hallo,


    diejenigen von euch, die noch ein WCF 2 in Kombination mit dem Custom Pages-Plugin von nmichel einsetzen, sollten bei nächster Gelegenheit folgende Code-Änderungen an der Datei wcf/lib/page/CustomPagePage.class.php vornehmen:


    Suche nach


    PHP
    1. if (isset($_REQUEST['id'])) $this->pageID = $_REQUEST['id'];


    und ersetzen durch


    PHP
    1. if (isset($_REQUEST['id'])) $this->pageID = intval($_REQUEST['id']);


    Ein Fix von Seiten des Herstellers ist eher nicht zu erwarten.

  • Cool - Danke Dir Sascha!


    Du hast einen gut bei mir!


    Edit: Sehe gerade ein neues Datum der entsprechenden Datei!!!

  • So hab ich das gedacht.

    Einfach genial!


    Ich wird dann mal die Kaffeekasse etwas für die schnelle Hilfe befüllen!

    Einmal editiert, zuletzt von mv993 ()