[phpBB Debug] PHP Warning: in file [ROOT]/ext/tas2580/seourls/event/listener.php on line 213: Undefined array key "FORUM_NAME"
REDAXO Forum • [Sicherheit] - SQL Injection in MyEvents Backend

REDAXO Forum

Diskussionen, Fragen rund um das CMS REDAXO
https://redaxo.org/forum/

[Sicherheit] - SQL Injection in MyEvents Backend

https://redaxo.org/forum/viewtopic.php?t=22128

Seite 1 von 1

[Sicherheit] - SQL Injection in MyEvents Backend

Verfasst: 2. Mär 2018, 11:02
von mnhwmd
Liebe redaxo-User,

wir haben im Addon "MyEvents" eine SQL Injection im Get Parameter "myevents_id" entdeckt. Wer das Addon also im Produktiveinsatz hat und nicht administrativen Usern zur Verfügung stellt, sollte die Datei

Code: Alles auswählen

redaxo/src/addons/myevents/pages/event_add.php
an folgender Stelle fixen:

Code: Alles auswählen

$myevents_id            =  strip_tags(rex_request('myevents_id', 'string'));
Dies kann nach unserer Auffassung mit folgenden Parametern getan werden (beide Varianten getestet).

Code: Alles auswählen

$myevents_id            =  strip_tags(rex_request('myevents_id', 'int'));
oder

Code: Alles auswählen

$myevents_id            =  (int)strip_tags(rex_request('myevents_id', 'string'));
Cheerz!

Re: [Sicherheit] - SQL Injection in MyEvents Backend

Verfasst: 2. Mär 2018, 12:12
von Oliver.Kreischer
Danke sehr!


https://github.com/wende60/myevents/issues/14

LG
Oliver

Re: [Sicherheit] - SQL Injection in MyEvents Backend

Verfasst: 2. Mär 2018, 13:49
von mnhwmd
Da wir Redaxo selber in allen Projekten nutzen, gibt es keinen Grund sich zu bedanken :)

Und wenn wir unseren kleinen bescheidenen Teil zum Redaxo beitragen können, ist es mal an der Zeit das auch zu tun :)
Alle Zeiten sind UTC+02:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/