XSS Patch voor 1.5.x

Er is een kleine patch beschikbaar voor Zen Cart 1.5.x die een XSS lek dicht.

U kunt de file hier downloaden.

De aanpassing is als volgt:

  1. Edit {ADMIN FOLDER NAME}/includes/functions/general.php
  2. verander op ongeveer regel 126 in de zen_get_all_get_params function

Originele
  PHP Code:

if (($key != zen_session_name()) && ($key != 'error') && (!in_array($key, $exclude_array))) $get_url .= $key . '=' . $value . '&';

naar
  PHP Code:

if (($key != zen_session_name()) && ($key != 'error') && (!in_array($key, $exclude_array)))
$get_url .= zen_sanitize_string($key) . '=' . rawurlencode(stripslashes($value)) . '&';

Zen Cart 1.50 is nu beschikbaar

Op de laatste dag van het oude jaar heeft Zen Ventures, LLC versie 1.5.0 van Zen Cart® vrijgegeven voor productie sites.De lijst met verbeteringen is enorm maar het belangrijkste nieuws is wel dat Zen Cart® 1.5.0 ‘out of the box’ PA-DSS compliant is. Dit is vooral belangrijk voor het toekomstig eigenhandig kunnen accepteren van Credit Card betalingen.Natuurlijk zegt dit ook veel over de veiligheid van de software en de database.

Zen Cart 1.39h overbodig?

Nu de nieuwste versie van Zen Cart eraan staat te komen zullen een hoop mensen denken dat Zen Cart 1.39h overbodig is geworden. Niets is minder waar. Het zal nog wel enige tijd duren voordat de meest gebruikte beschikbare add-ons voor Zen Cart 1.39 zijn geupdate naar Zen Cart 1.5.