- Offizieller Beitrag
Heute Abend ist eine Lücke im SecuritySystem basic 2.1 bekannt geworden. Hierbei ist das Captcha im ACP Login für eine SQL Injection anfällig. Aus diesem Grund wird dringen empfohlen, diesen Patch in Ihrem Forum zu installieren.
Suche in der acp/login.php folgenden Codeabschnitt
Code
$row = $db->query_first("SELECT * FROM bb".$n."_security_passwords WHERE passwort = '".$_POST[l_sicherheitsabfrage]."'");
ersetze mit
Code
$row = $db->query_first("SELECT * FROM bb".$n."_security_passwords WHERE passwort = '".addslashes($_POST['l_sicherheitsabfrage'])."'");An dieser Stelle möchte ich mich bei Eddy14 (http://www.eddys-blog.dl.am/) und D4m14n (http://www.damians-world.info.ms) für diesen Hinweis bedanken.