Es ist möglich, Code in die Tabelle tl_log einzuschleusen, der beim Aufruf des Systemlogs im Backend im Browser ausgeführt wird. Der Angreifer muss dazu nicht angemeldet sein.
Versteh ich nicht ganz. Einerseits müssen Angreifer nicht angemeldet sein, andererseits soll das deaktivieren des besagten Backend-Moduls helfen, das ja nur angemeldete Benutzer bedienen.Workaround
Deaktiviere das System-Log-Modul im Backend für alle Benutzer (insbesondere für Administratoren).
Und wie deaktiviert man dieses Modul (und wieso für besonders Admins - wer außer dem Admin sollte es dann je wieder aktivieren?
Leider finde ich keinen Hinweis dazu, vielleicht kann da jemand helfen?
Viele Grüße, Jott
Lesezeichen