Es gibt eine ernsthafte Sicherheitslücke im Blank Template „Bootstrap Edition„. Das Leck ermöglicht den Angreifern Schadcode einzuschleusen.
Die Lücke betrifft die Versionen 3.2.0 bis 3.5.0. Alle Nutzer dieser Versionen werden dringend aufgefordert, ihr Template umgehend zu aktualisieren.
Folgende Anleitung soll dabei helfen, den Hotfix manuell auszuführen.
Manuelle Update-Anleitung
1. Ersetze in der Datei: logic.php folgender Eintrag:
$doc->addStyleSheet($tpath.'/css/template.css.php?baseurl='.$this->baseurl);
mit:
$doc->addStyleSheet($tpath.'/css/template.css.php');
2. Lösche in der Datei: css/template.css.php den Eintrag:
$baseurl = $_GET['baseurl'];
und ersetze den Eintrag:
$baseurl.'/
mit:
$_SERVER['REQUEST_URI']
Diesen gibts gleich zweimal in Zeile 44 und 47. Die Zeile 47 sollte danach wie folgt aussehen:
$compiled = file_get_contents( $_SERVER['REQUEST_URI'].'cache/'.$css_file_name );
3. Ersetze in der Datei: css/font-awesoma/variables.less den Eintrag:
@fa-font-path: "../templates/frontend/fonts";
mit:
@fa-font-path: "../../../fonts";
Nach dieser Anleitung ist das Template wieder sicher, dass gilt auch für die aktuelle Version BBE 3.5.2
Quelle: blank.vc und vel.joomla.org