Frage zu Sicherheitsupdate Cross-Site-Scripting im System-Log
Zitat:
Es ist möglich, Code in die Tabelle tl_log einzuschleusen, der beim Aufruf des Systemlogs im Backend im Browser ausgeführt wird. Der Angreifer muss dazu nicht angemeldet sein.
Zitat:
Workaround
Deaktiviere das System-Log-Modul im Backend für alle Benutzer (insbesondere für Administratoren).
Versteh ich nicht ganz. Einerseits müssen Angreifer nicht angemeldet sein, andererseits soll das deaktivieren des besagten Backend-Moduls helfen, das ja nur angemeldete Benutzer bedienen.
Und wie deaktiviert man dieses Modul (und wieso für besonders Admins - wer außer dem Admin sollte es dann je wieder aktivieren?
Leider finde ich keinen Hinweis dazu, vielleicht kann da jemand helfen?
Viele Grüße, Jott