--

We were informed about a security issue in the "404  Page Redirect" module.
If you have installed the module, it is strongly  advised to update to v. 1.6.
Download available in the Add-On Repository or the module homepage

Wir wurden über ein Sicherheitsproblem im Modul Miniform (angepasste Version 0.23.0 für WBCE CMS) informiert.

Bitte  UMGEHEND auf Version 0.23.1 bzw. 0.23.2* aktualisieren!

Download hier.

Bitte beim Updaten darauf achten, dass beim Updaten die Option "Überschreibe neuere Dateien" aktiv ist!

+++ WICHTIG +++ DRINGEND +++ WICHTIG +++ DRINGEND +++ WICHTIG +++ DRINGEND

(* 0.23.1 wurde am 26.04. veröffentlicht, 0.23.2 am 27.04. Beide Versionen beheben das Problem, letztere noch etwas konsequenter.)

---

+++ IMPORTANT +++ URGENT +++ IMPORTANT +++ URGENT +++ IMPORTANT +++

A security issue in the Miniform module, WBCE CMS customized version 0.23.0, was reported to us.
Update IMMEDIATELY to version 0.23.1 resp.  0.23.2*!

Download here.

Please make sure that you choose "overwrite newer files" when updating!

+++ IMPORTANT +++ URGENT +++ IMPORTANT +++ URGENT +++ IMPORTANT +++

(* 0.23.1 was published on 04/26, 0.23.2 on 04/27. Both versions fix the issue, 0.23.2 just a little bit better.)

Als kurzfristige Lösung - ohne Komplett-Update - genügt es, die betroffenen Dateien durch die aus dem hier angefügten Patch-Paket auszutauschen.
Die patch.zip herunterladen, lokal entpacken und deren Inhalt in die jeweiligen Verzeichnisse auf dem Server kopieren und sicherstellen, dass die vorhandenen Dateien überschrieben werden.
Wurde das admin-Verzeichnis auf dem Server umbenannt, so müssen die betreffenden Dateien natürlich in das jeweilige Unterverzeichnis des umbenannten admin-Verzeichnisses.

Es ist sofortiges Handeln erforderlich!

EN

We were informed about a security issue in all WBCE versions from 1.3.3 to 1.5.1.
The  fixed version 1.5.2 is available for download.

As a quick fix - without complete update - just replace the relevant files with the ones from the patch package which is attached to this post.
Download and unzip the patch.zip and replace the files on the server with that ones from the patch package.
If the admin directory was renamed, the patched files have to be copied into the subdirectory of the renamed admin directory of course.

Immediate action required!

All versions of Inline Wrapper prior to Version 2.9.4 suffer from a secuirty flaw. All users of the module are advised to update as soon as possible.
Version 2.9.4, which contains the fix, is available in the AOR.
The flaw doesn't affect the security of WBCE itself. In particular, no unauthorized backend access is possible due to this flaw.

Bitte so schnell wie möglich ein Update auf Bakery 1.84 durchführen.

Download im WBCE-AOR (für WBCE) oder auf bakery-shop.ch (für WB)

Versierte Benutzer können ältere Bakery-Versionen, die nicht geupdated werden können/sollen, auch von Hand patchen.

---

A security issue in ALL versions of the Bakery shop module makes it prone to SQL injections.

Please update as soon as possible to Bakery 1.84.

Download available at the WBCE-AOR (for WBCE) or at bakery-shop.ch (for WB)

You can also patch existing installations which you do not want to update, it's not so hard to find the changes which have to be applied.

Download- und Installationsanleitung für den Patch:
1. Die Datei patch_framework_1.1.x_1.2.zip herunterladen,
2. Zip-Datei lokal entpacken,
3. die Dateien daraus per FTP ins Verzeichnis /framework auf dem Server kopieren.
Vorhandene Dateien gleichen Namens müssen dabei natürlich überschrieben werden.
Das ist schon alles. Es müssen keine weiteren Scripte o.ä. ausgeführt werden, die Versionsnummer erhöht sich auch nicht.

Es besteht kein Grund zur Panik, dennoch ist eine umgehende Aktualisierung angeraten.
Noch einmal: WBCE CMS 1.3 ist nicht betroffen. Der Patch ist ausschließlich für 1.1.x und 1.2.

* Zum Update auf 1.3 siehe https://forum.wbce.org/viewtopic.php?pid=14409#p14409

---

In WBCE 1.1.x and 1.2 a security flaw was discovered, by which under certain circumstances unauthorized backend access is possible. A patch to solve this issue is available, but you should also consider to update to WBCE CMS 1.3*, which is not affected by this issue.

Download and installation instructions for the patch:
1. Please download patch_framework_1.1.x_1.2.zip,
2. unzip it to your local hard disk,
3. and copy all the files from it by FTP to the /framework folder on your server.
Make sure that files with the same name are overwritten.
And that's just all, there is no script which has to be executed and the version does not increase neither.

Although there is no reason for panic we recommend to patch your site at the next opportunity.
Again, WBCE CMS 1.3 is not affected, and the patch is suitable only for WBCE 1.1.x and 1.2.

* 1.3 Update instructions see https://forum.wbce.org/viewtopic.php?pid=14410#p14410

Dieses Update ist in WBCE 1.2 bereits enthalten.
(User Search ist ein Admintool, d.h. zum Ausnutzen der Lücke müsste ein böswilliger Benutzer erstens an WBCE angemeldet sein und zweitens Zugriff auf die Admintools haben. Es besteht also kein Grund zur Panik.)

A security issue with he module User Search was reported.
Please update to version 0.5 (avilable in the AOR)

This update is already included in WBCE 1.2.
(User search is an admin tool, so a malicious user would need backend access _and_ access to the admin tools to make use of the issue. So there's no reason for panic.)

Eine bei WebsiteBaker bekannt gewordene Sicherheitslücke betrifft - in etwas anderer Form - auch WBCE.
Nach derzeitigem Kenntnisstand sind nur Seiten verwundbar, bei denen die Frontendregistrierung, d.h. das selbständige Neuanlegen von Benutzeraccounts durch Besucher_innen der Seite über ein Registrierungsformular im Frontend, aktiv ist. Seiten, bei denen diese Funktion nicht genutzt wird, sind nicht betroffen.

Um die Sicherhitslücke zu schließen, sollte bei Seiten mit aktiver Frontendregistrierung der nachfolgend bereitgestellte Patch kurzfristig eingespielt werden.

Bitte die Datei signup2.zip hier herunterladen, entpacken und die Datei signup2.php per FTP ins Verzeichnis /account Deiner WBCE-Installation(en) kopieren; vorhandene Datei überschreiben.

Danke an cwsoft für die Info und die kurzfristige Bereitstellung des Patches.

HINWEIS: Die signup2.php von WebsiteBaker ist NICHT! kompatibel zur signup2.php von WBCE und umgekehrt, d.h. für WBCE bitte nur die hier bereitgestellte signup2.php und für WebsiteBaker bitte nur die dort verfügbare signup2.php verwenden.

Die auf wbce.org angebotenen WBCE-Downloads (Voll-, Minimal- und Portable Version) sowie der Patch für WBCE 1.1.3-1.1.10 enthalten die gefixte signup2.php.

--- English ---

A security problem regarding the frontend registration for WebsiteBaker concerns - in slightly other way - WBCE too. So if you have frontend registration activated, e.g. visitors of your site have the possibility to create a user account by themselves, your site is potentially endangered. As far as we currently know, there is no danger if you have not activated this option.

Site which offer frontend registration should be updated as soon as possible.

Please download the file signup2.zip, unzip it and copy the signup2.php via FTP to the /account folder of your WBCE installation(s). Make sure that the existing signup2.php is overwritten.

Thanks to cwsoft for reporting and fixing the problem.

PLEASE NOTE: The fix for WebsiteBaker is NOT compatble with the fix for WBCE and vice versa, e.g. update your WBCE site only with the patch offered here, and if you have a WebsiteBaker site, use their patch for it.

The at wbce.org available WBCE downloads (full, minimal, portable version) and the patch file vor WBCE 1.1.3-1.1.10 are updated.

Das zur Verfügung gestellte Patch-Paket beinhaltet auch die weiteren, nach 1.1.3 veröffentlichten Patches.

Details und Download: https://forum.wbce.org/viewtopic.php?pid=9021#p9021