In dem Datenfeld-Element PHP_SELF des globalen Datenfeldes Array wird der Pfad und der Name des aktuell ausgef�rhrten Scriptes abgespeichert. Dieser kann durch eine geschickt ge�nderte URL manipuliert werden. Fremde Skripte lassen sich somit bequem ausf�ren - unter der IP-Nummer des jeweiligen Servers versteht sich.

Dieses Patch sichert nun das besagte Datenfeld-Element (hoffentlich gen�gend) ab, in dem es nicht nur viele Zeichen mit htmlentities() in HTML-konforme Zeichen umwandelt (Aufruf des fremden Scriptes ist somit verhindert oder erschwert), sondern auch durch entfernen der angeh�ngten URL des fremden Scriptes.

Wenn Ihnen das zu technisch ist, laden Sie sich einfach den Patch runter. Im Normalfall sollte sich am Verhalten des Scriptes nichts �ndern. Das Patch k�nnen Sie wie gewohnt per Downloads von meiner Seite runterladen oder direkt aus Ihrem Admin-Bereich.

Es ist somit das zweite sicherheitsrelevante Patch in Folge.
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato