Wichtigen Sicherheitspatch - SecuritySystem basic 2.1 RC1

    • Offizieller Beitrag

    Heute Abend ist eine Lücke im SecuritySystem basic 2.1 bekannt geworden. Hierbei ist das Captcha im ACP Login für eine SQL Injection anfällig. Aus diesem Grund wird dringen empfohlen, diesen Patch in Ihrem Forum zu installieren.

    Suche in der acp/login.php folgenden Codeabschnitt

    Code
    $row = $db->query_first("SELECT * FROM bb".$n."_security_passwords WHERE passwort = '".$_POST[l_sicherheitsabfrage]."'");


    ersetze mit

    Code
    $row = $db->query_first("SELECT * FROM bb".$n."_security_passwords WHERE passwort = '".addslashes($_POST['l_sicherheitsabfrage'])."'");

    An dieser Stelle möchte ich mich bei Eddy14 (http://www.eddys-blog.dl.am/) und D4m14n (http://www.damians-world.info.ms) für diesen Hinweis bedanken.