Diese wurde auf Github und im Download-Paket zwischenzeitlich ausgebessert. Wer seine Community nach dem 23.08.2012 heruntergeladen hat ist von der Sicherheitslücke also nicht betroffen.
Alle anderen sollten ein Update auf die aktuelle Version machen. Es wurden auch einige kleinere Bugs behoben. Ein Update lohnt sich also.
Download:
Komplettpaket: http://www.redaxo.org/de/download/
Github: https://github.com/dergel/redaxo4_community
Wer dies nicht möchte, oder eine schon etwas ältere Version hat und ein Update deshalb schwierig wird, kann die Sicherheitslücke auch händisch beseitigen.
Anleitung:
in der Datei redaxo/include/addons/community/plugins/auth/inc/auth.php folgende Code-Stelle suchen (gleich ganz oben) In einigen älteren Versionen kann die Datei auch noch auth.inc.php heißen.
Code: Alles auswählen
$login_name = stripslashes(rex_request($REX['ADDON']['community']['plugin_auth']['request']['name'],"string"));
$login_psw = stripslashes(rex_request($REX['ADDON']['community']['plugin_auth']['request']['psw'],"string"));
Code: Alles auswählen
$login_name = rex_request($REX['ADDON']['community']['plugin_auth']['request']['name'],"string");
$login_psw = rex_request($REX['ADDON']['community']['plugin_auth']['request']['psw'],"string");