Banktransfer Validation – Security Fix

Patches & Bugfixes, Payment Kommentar schreiben

Im Banktransfer Validation Modul wurde eine Sicherheitslücke (SQL-Vulnerability) gefunden, die bisher wohl unentdeckt blieb.

Vom Modul banktransfer.php in “/includes/modules/payment” wird der $_POST-Parameter für die Bankleitzahl ungefiltert ans banktransfer_validation.php Modul übergeben und dort ebenso ungefiltert an die Datenbank weitergereicht. Dieser kleine Fix löst das Problem.

Zur Fehlerbehebung genügt es, im Ordner “/includes/classes” die Datei banktransfer_validation.php durch die gefixte Version zu ersetzen. Alternativ kann diese Datei nach der beiliegenden Anleitung auch selbst bearbeitet werden.

Hinweis:
Dieser Fix wird für alle bisher zurückliegenden Versionen des Banktransfer Validation Moduls empfohlen. In der hier erhältlichen neuen Version mit Stand vom März 2011 ist er ab dem heutigen Tage bereits integriert.

Autor: Christian Rothe

Dateigröße 14,8 KiB - Downloads bisher 893
  security_fix_banktransfer_validation.zip

 

Weitere Beiträge, die Dich interessieren könnten

2 Kommentare bei “Banktransfer Validation – Security Fix”

  1. Sascha

    Hallo Christian,

    danke für den Fix. Im Hinweis-Text schreibst du “Version mit Stand vom März 2010″, sollte das eventuell “Version mit Stand vom April 2011″ heißen? Ich fand es etwas verwirrend.
    Da bei Eurer Datumsgrafik kein Jahr dabeisteht war ich erst nicht sicher, ob der Beitrag nicht aus 2010 ist.
    Wäre vielleicht nicht schlecht, wenn Ihr unter den Beitrag noch das Datum in “Reinschrift” schreiben lasst, damit man genau sehen kann von wann der Beitrag ist. Nur so ne Idee.

    Schönen Tag und WE, Gruß Sascha

  2. admin

    @Sascha
    Ups, sorry das war mein Fehler. Das muss natürlich “Version mit Stand vom März 2011″. Die Jahreszahl war falsch und ist nun korrigiert. Da im Text zum richtigen Beitrag verlinkt ist, sollte das trotz meines Fehlers aber dennoch nachvollziehbar gewesen sein.

    Da bei Eurer Datumsgrafik kein Jahr dabeisteht …
     

    Das Jahr kannst Du, falls nötig, in der URL des Beitrages erkennen. Aber vielen Dank für den Hinweis! Ich werde bei nächster Gelegenheit mal überprüfen, wo wir noch einmal das komplette Datum der Veröffentlichung anzeigen werden.

Kommentar schreiben

Hier findest Du Platz für Deine Meinung, Dein Lob, Deine Kritik. Bitte nutze diese Funktion nicht für Supportanfragen! Wenn Du Fragen zu Modulen, Fehlermeldungen oder ähnliches hast, bist Du in unserem eCommerce-Forum herzlich willkommen.

© 2005 - 2015 by xtc-load.de