XSS Patch voor 1.5.x

Er is een kleine patch beschikbaar voor Zen Cart 1.5.x die een XSS lek dicht.

U kunt de file hier downloaden.

De aanpassing is als volgt:

  1. Edit {ADMIN FOLDER NAME}/includes/functions/general.php
  2. verander op ongeveer regel 126 in de zen_get_all_get_params function

Originele
  PHP Code:

if (($key != zen_session_name()) && ($key != 'error') && (!in_array($key, $exclude_array))) $get_url .= $key . '=' . $value . '&';

naar
  PHP Code:

if (($key != zen_session_name()) && ($key != 'error') && (!in_array($key, $exclude_array)))
$get_url .= zen_sanitize_string($key) . '=' . rawurlencode(stripslashes($value)) . '&';

Zen Cart 1.50 is nu beschikbaar

Op de laatste dag van het oude jaar heeft Zen Ventures, LLC versie 1.5.0 van Zen Cart® vrijgegeven voor productie sites.De lijst met verbeteringen is enorm maar het belangrijkste nieuws is wel dat Zen Cart® 1.5.0 ‘out of the box’ PA-DSS compliant is. Dit is vooral belangrijk voor het toekomstig eigenhandig kunnen accepteren van Credit Card betalingen.Natuurlijk zegt dit ook veel over de veiligheid van de software en de database.