0
**Security Patch**: remove unsecure $_GET['baseurl'] from template.css.php
See commits for changes
Download BBE 3.5.1 direct from GitHub

Update your template!

Manual Update Instructions

- open logic.php
replace
$doc->addStyleSheet($tpath.'/css/template.css.php?baseurl='.$this->baseurl); with
$doc->addStyleSheet($tpath.'/css/template.css.php');

- open css/template.css.php
delete
$baseurl = $_GET['baseurl'];
replace
$baseurl.'/ with
$_SERVER['REQUEST_URI']
2 x @ line 44 and line 47; line 47 should look like
$compiled = file_get_contents( $_SERVER['REQUEST_URI'].'cache/'.$css_file_name );

- open css/font-awesoma/variables.less
replace
@fa-font-path: "../templates/frontend/fonts"; with
@fa-font-path: "../../../fonts";
Responses (4)
  • Accepted Answer

    Tuesday, 13. January 2015, 13:09 - #permalink
    0
    Hallo Alexander,

    ich habe die manuelle Anpassung wie beschrieben gemacht und mir wird nur noch eine leere Seite angezeigt. Das Template wird nicht mehr ausgegeben, der Quellcode ist quasi leer. Das passiert sobald ich "?baseurl='.$this->baseurl" aus der logic.php entferne.

    Mir ist auch aufgefallen, dass in der Zip-Datei des BBE 3.5.1 in der Logic.php noch der falsche Quellcode steht:


    // template css
    $doc->addStyleSheet($tpath.'/css/template.css.php?baseurl='.$this->baseurl);


    Beste Grüße
    Michi
    The reply is currently minimized Show
  • Accepted Answer

    public
    public
    Offline
    Tuesday, 13. January 2015, 13:59 - #permalink
    1
    Michael Thanbichler wrote:
    ich habe die manuelle Anpassung wie beschrieben gemacht und mir wird nur noch eine leere Seite angezeigt. Das Template wird nicht mehr ausgegeben, der Quellcode ist quasi leer. Das passiert sobald ich "?baseurl='.$this->baseurl" aus der logic.php entferne.

    In der Anleitung oben für die logic.php fehlt ein ' in
    $doc->addStyleSheet($tpath.'/css/template.css.php);

    stattdessen muss es
    $doc->addStyleSheet($tpath.'/css/template.css.php');

    heißen.
    Like
    • Alexander Schmidt
      more than a month ago
      Danke für den Hinweis. Die Anleitung wurde dahingehend verbessert.
    The reply is currently minimized Show
  • Accepted Answer

    Wednesday, 14. January 2015, 10:09 - #permalink
    1
    Im Zip-Packet ist immer noch die Logic.php falsch:

    In der Logic.php steht noch


    // template css
    $doc->addStyleSheet($tpath.'/css/template.css.php?baseurl='.$this->baseurl);


    aber es muss doch lt. Security Patch


    // template css
    $doc->addStyleSheet($tpath.'/css/template.css.php');

    heissen. Oder täusche ich mich da?
    Like
    The reply is currently minimized Show
  • Accepted Answer

    Wednesday, 14. January 2015, 11:08 - #permalink
    0
    Hey, Michael

    Danke für den Hinweis. Keine Ahnung, warum es in 3.5.1 nicht mitgenommen wurde (Release wurde nach Commit erstellt), aber 3.5.2 ist nun clean.

    Grüße,

    Alex
    The reply is currently minimized Show
Your Reply