Tag Archive

Tag Archives for " Gambio "

Fehler im Kontaktformular nach Gambio Update 1.0.11?

Bei unserem Shop trat nach dem Einspielen des Updates der seltsame Effekt auf, dass wir bei einer Kundenanfrage durch unser Kontaktformular selbst als Absender eingetragen waren. Nach einem Blick in das Changelog des letzten Gambio-Updates fiel mir folgende Änderung auf (Änderung rot markiert):

alte Datei shop_content.php Zeile 90:

xtc_php_mail($_POST[‚email‘], $_POST[’name‘], CONTACT_US_EMAIL_ADDRESS, CONTACT_US_NAME, CONTACT_US_FORWARDING_STRING, $_POST[‚email‘], $_POST[’name‘], “, “, CONTACT_US_EMAIL_SUBJECT, nl2br($_POST[‚message_body‘]), $_POST[‚message_body‘]);

neue Datei shop_content.php Zeile 90-91:

// BOF GM_MOD:
xtc_php_mail(CONTACT_US_EMAIL_ADDRESS, CONTACT_US_NAME, CONTACT_US_EMAIL_ADDRESS, CONTACT_US_NAME, CONTACT_US_FORWARDING_STRING, $_POST[‚email‘], $_POST[’name‘], “, “, CONTACT_US_EMAIL_SUBJECT, nl2br($_POST[‚message_body‘]), $_POST[‚message_body‘]);

Nach dem Update wird der Shopbetreiber als Absender der Anfrage eingetragen, d.h. Absender und Empfänger der E-Mail ist der Shopbetreiber selbst. Nach dem Zurücksetzen auf die alte Dateiversion funktionierte das Kontaktformular wie vorher.

xtc_php_mail($_POST[‚email‘], $_POST[’name‘], CONTACT_US_EMAIL_ADDRESS, CONTACT_US_NAME, CONTACT_US_FORWARDING_STRING, $_POST[‚email‘], $_POST[’name‘], “, “, CONTACT_US_EMAIL_SUBJECT, nl2br($_POST[‚message_body‘]), $_POST[‚message_body‘]);

FCK-Editor: Security-Patch

Es wurde eine Sicherheitslücke im FCK-Editor gefunden, der auch von Shops wie xt-Commerce und Gambio verwendet wird. Eine Beschreibung der Sicherheitslücke findet man hier:

http://www.ocert.org/advisories/ocert-2009-007.html

Gambio hat schon reagiert und einen Patch herausgebracht. Die Sicherheitslücke wird als kritisch eingestuft, das Update sollte also zügig erfolgen.