wir haben im Addon "MyEvents" eine SQL Injection im Get Parameter "myevents_id" entdeckt. Wer das Addon also im Produktiveinsatz hat und nicht administrativen Usern zur Verfügung stellt, sollte die Datei
Code: Alles auswählen
redaxo/src/addons/myevents/pages/event_add.php
Code: Alles auswählen
$myevents_id = strip_tags(rex_request('myevents_id', 'string'));
Code: Alles auswählen
$myevents_id = strip_tags(rex_request('myevents_id', 'int'));
Code: Alles auswählen
$myevents_id = (int)strip_tags(rex_request('myevents_id', 'string'));