Wartungsseite lässt sich ohne Login aktivieren

gnilebein · 2. Juni 2016

Über die Mobile Version lässt sich die Wartungsseite ohne Login aktivieren. Dies geht mit einem einfachen Post-Request... Und da die Daten direkt in einer SQL Query landen, ist wahrscheinlich auch eine SQL injection möglich.

Shell-Script

curl -v --data 'msubmit=1&maintenance=1' https://domain.tld/m/index.php

Ich bitte um einen Fix

dwet · 3. Juni 2016

guter Hinweis! Hab zwar bei mir eh die komplette Mobile-Versipon deaktiviert, aber kurzer Blick in den Code der /m/index.php und Vergleich mit der normalen /index.php sagt:

Ersetze

Code

$RUNTIME = createRuntime();# Wartungsmodus - Status setzenif (isset($_POST['msubmit'])){ $msql = "REPLACE INTO ". $CONFIG['MYSQL']['PREFIX'] ."settings (id,maintenance) VALUES (1,". $_POST['maintenance'] .")"; mysql_query($msql);}

mit

Code

$RUNTIME = createRuntime();
checkUserState();
# Wartungsmodus - Status setzen
if (isset($_POST['msubmit']) && isAdmin())
{
$msql = "REPLACE INTO ". $CONFIG['MYSQL']['PREFIX'] ."settings (id,maintenance) VALUES (1,". $_POST['maintenance'] .")";
mysql_query($msql);
}

Alles anzeigen

hab's aber nicht getestet

Iceskull · 3. Juni 2016

@dwet

wie kann ich die Mobileversion komplett deaktivieren?

alle sollen auf die Normale seite gelangen

EDIT: hab die Frage nochmal im richtigen Topic gestellt, sorry
Probleme bei Mobilversion

Martel · 4. Juni 2016

Eingebaut, getestet. Scheint zu laufen

Horst · 4. Juni 2016

Also in meiner Version war das genau so schon drin!
Wundert mich jetzt das Ihr da was anderes habt!

Data04 · 4. Juni 2016

Horst: Auch in meiner, am 29.05.16 heruntergeladenen Vollversion fand sich der o.g. "Fehler".

@gnilebein und dwet: THX für den Hinweis bzw. den Fix!