[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
[Sicherheit] - SQL Injection in MyEvents Backend - REDAXO Forum
Hallo,

Wir haben in letzter Zeit festgestellt, dass die Kommunikation via Slack viel schneller und zielführender ist als ein Beitrag im Forum. Aufgrund der neuen und besseren Möglichkeiten der Kommunikation haben wir uns entschlossen das Forum nur noch als Archiv zur Verfügung zu stellen. Somit bleibt es weiterhin möglich hier nach Lösungen zu suchen. Neue Beiträge können nicht mehr erstellt werden.

Wir empfehlen, für deine Fragen/Probleme Slack zu nutzen. Dort sind viele kompetente Benutzer aktiv und beantworten jegliche Fragen, gerne auch von REDAXO-Anfängern! Slack wird von uns sehr intensiv und meistens "rund um die Uhr" benutzt :-)
Selbst einladen kannst Du dich hier: https://redaxo.org/slack/
mnhwmd
Beiträge: 2
Registriert: 1. Mär 2018, 20:00

[Sicherheit] - SQL Injection in MyEvents Backend

2. Mär 2018, 11:02

Liebe redaxo-User,

wir haben im Addon "MyEvents" eine SQL Injection im Get Parameter "myevents_id" entdeckt. Wer das Addon also im Produktiveinsatz hat und nicht administrativen Usern zur Verfügung stellt, sollte die Datei

Code: Alles auswählen

redaxo/src/addons/myevents/pages/event_add.php 
an folgender Stelle fixen:

Code: Alles auswählen

$myevents_id            =  strip_tags(rex_request('myevents_id', 'string')); 
Dies kann nach unserer Auffassung mit folgenden Parametern getan werden (beide Varianten getestet).

Code: Alles auswählen

$myevents_id            =  strip_tags(rex_request('myevents_id', 'int')); 
oder

Code: Alles auswählen

$myevents_id            =  (int)strip_tags(rex_request('myevents_id', 'string')); 
Cheerz!

Benutzeravatar
Oliver.Kreischer
Beiträge: 2508
Registriert: 17. Dez 2004, 00:03
Wohnort: Velbert - LA
Kontaktdaten: Website

Re: [Sicherheit] - SQL Injection in MyEvents Backend

2. Mär 2018, 12:12

> Friends Of REDAXO Gemeinsame REDAXO-Entwicklung!
> REDAXO Agenturen. Eintragen erwünscht!
> Komm in den Slack Channel Es lohnt sich!

mnhwmd
Beiträge: 2
Registriert: 1. Mär 2018, 20:00

Re: [Sicherheit] - SQL Injection in MyEvents Backend

2. Mär 2018, 13:49

Da wir Redaxo selber in allen Projekten nutzen, gibt es keinen Grund sich zu bedanken :)

Und wenn wir unseren kleinen bescheidenen Teil zum Redaxo beitragen können, ist es mal an der Zeit das auch zu tun :)

Zurück zu „AddOns / Packages [R5]“