[Sicherheit] - SQL Injection in MyEvents Backend
Verfasst: 2. Mär 2018, 11:02
Liebe redaxo-User,
wir haben im Addon "MyEvents" eine SQL Injection im Get Parameter "myevents_id" entdeckt. Wer das Addon also im Produktiveinsatz hat und nicht administrativen Usern zur Verfügung stellt, sollte die Datei
an folgender Stelle fixen:
Dies kann nach unserer Auffassung mit folgenden Parametern getan werden (beide Varianten getestet).
oder
Cheerz!
wir haben im Addon "MyEvents" eine SQL Injection im Get Parameter "myevents_id" entdeckt. Wer das Addon also im Produktiveinsatz hat und nicht administrativen Usern zur Verfügung stellt, sollte die Datei
Code: Alles auswählen
redaxo/src/addons/myevents/pages/event_add.php
Code: Alles auswählen
$myevents_id = strip_tags(rex_request('myevents_id', 'string'));
Code: Alles auswählen
$myevents_id = strip_tags(rex_request('myevents_id', 'int'));
Code: Alles auswählen
$myevents_id = (int)strip_tags(rex_request('myevents_id', 'string'));