Bruger du en osCommerce baseret butik?

Hej

 

Der er opdaget en fejl i osCommerce systemet, der giver en udenfra kommende bruger mulighed for at ændre samtlige priser i butikken til 0 Kr.

Fejlen er i særdeleshed kritisk over for butikken der sælger filer til downloads (små programmer, billeder, mp3'er m.v.) da en kunde her vil kunne ændre prisen, gennemfører en kortbetaling (der hæves 0 Kr.) og have downloaded produktet før shopejeren opdager det.
Har kigget lidt rundt og fejlen er også at finde i butikker baseret på en løsning fra BGsys, Golden Planet m.fl.

Du kan se fejlen i funktion her:

osCommerce demo butik: http://demo.oscommerce.com

- tilføj nu teksten: ?currency=usd  til adresse, såldes: http://demo.oscommerce.com/?currency=usd

Du kan selv teste om din butik rammes af problemet ved at gå kigge på http:www.dinbutik.dk/?currency=usd er dine priser nu ændret til 0 Kr. skal du have rettet fejlen.

Det gøres meget nemt, åben filen:
catalog/includes/functions/general.php 
(HUSK backup, backup og bare for en sikkerheds skyld: backup)
find linien: 
$currency_code = tep_db_query("select currencies_id from " . TABLE_CURRENCIES . " where code = '" . tep_db_input($code) . "'");

ændre den til:
$currency_code = tep_db_query("select currencies_id from " . TABLE_CURRENCIES . " where BINARY code = '" . tep_db_input($code) . "'");

og du er færdig.

Har du ikke selv mod på at kaste dig ud i det, kan du kontakte enten din shopudbyder eller mig, så klare vi det meget hurtigt.

Med venlig hilsen
Johnny