id	summary	reporter	owner	description	type	status	priority	milestone	component	version	resolution	keywords	cc	blockedby	blocking
28	"Schwachstelle in ""/export/cao_xtc.php""?"	Torsten Riemer	H. H. H.	"Folgendes wurde heute gemeldet:

{{{
Hallo Community,

ich möchte eine schöne Funktion vorstellen:

Aufruf: export/cao_xtc.php?user=email@domain.de&password=123&action=send_log
Params:
-user = Email-Adresse
-password = ist klar
-action = send_log - cao_log ausschalten und unsichtbar bleiben

Diese Funktion kann uns über eine bestimmte Email-Adresse folgendes sagen:
- 105 = Email-Adresse existiert im Datenbank nicht
- 106 = Kein Admin
- 107 = Admin hat keine Berechtigung, ""xml_export""
- 108 = Passwort passt nicht

Diese Funktion vergibt die Berechtigung ""xml_export"" an customers_id=1 (wahrscheinlich ist es immer Admin), wenn es noch nie benutzt wurde.

Vielleicht ist das alles nicht schlimm, trotzdem kann manche Angriffe sehr vereinfachen.

Was meint Ihr?

Viele Grüße
M.Onah32
}}}

Quelle: [http://www.modified-shop.org/forum/index.php?topic=26544.0 Schwachstelle: export/cao_xtc.php]"	Bug/Fehler	closed	normal	modified-shop-2.0.0.0	Sicherheit	1.06	fixed