Schon etwas älter, aber ich trage es mal nach:
In älteren XT:C basierenden shops gibt es uU eine Sicherheitlücke in der Datei /inc/xtc_has_product_attributes.inc.php

die Zeile
$attributes_query = "select count(*) as count from " . TABLE_PRODUCTS_ATTRIBUTES . " where products_id = '" . $products_id . "'";
sollte so heißen:
$attributes_query = "select count(*) as count from " . TABLE_PRODUCTS_ATTRIBUTES . " where products_id = '" . (int)$products_id . "'";