Sicherheitslücke in GX v4.6.0.1 bis 4.9.0.2 - Gambio veröffentlicht Fix

[gnervt]

Hallo,
ich hatte gestern eigentlich einen Beitrag dazu gepostet - der ist nicht mehr zu finden . Gambio hat mittlerweile reagiert und einen Fix bereitgestellt. Ihr könnt den hier von Gambio laden:

https://www.gambio-support.de/de/dow...d-862222b2b99b

Der Fix läuft auch unter GX v4.8.0.2 da die betroffene Datei mit der in GX v4.9.0.2 identisch ist. Der Fix überschreibt nur die betroffene Datei - es gibt keine Meldung oder Hinweise!

Folgende Datei wird upgedatet:

PHP-Code:

/GXMainComponents/Controllers/HttpView/Shop/ParcelshopfinderController.inc.php 


---

Folgende Security Issues werden von dem Security Update behoben:

https://herolab.usd.de/security-advi...usd-2023-0046/
https://herolab.usd.de/security-advi...usd-2023-0047/

---

Update von Gambio heute:

Auch ältere Shopversionen sind betroffen. Das Security Update gilt für alle Shopversionen ab GX4 v4.6.0.1 bis v4.9.2.0

[gnervt]

Update: der Fix hinter dem Gambio Link wurde upgedated und liegt jetzt als Sicherheits-Update "Security Update 2024-01 v1.0.1" vor. Im neuen Update sind jetzt auch zusätzlich angepasste Frontend-Dateien für beide Themes mit dabei. Er muss somit nach dem Upload über https://shopdomain/gambio_updater/ installiert werden.

[KlausK]

Das aktuelle Security-Update 2024-01 v1.0.1 ist nun auch im Downloadbereich verfügbar.

UPDATE:
Die Installation lässt sich jetzt offenbar auch im Adminbereich > Gambio-Store > Modules anstossen.
Lt. Gambio war das für die Version 1.0 nicht möglich

Außerdem hat auch Dominik (werbe-markt.de) seine kostenlose Modulverwaltung angepasst, um solche Patches leichter hochzuladen und einspielen zu können.

WICHTIG:
In den Themes Honeygrid und Malibu wird auch die Datei address_book_parcelshopfinder_result.html aktualisiert.
Wer ein eigenes Theme betreibt, muss die address_book_parcelshopfinder_result.html entsprechend anpassen.