UPDATE vom 22.04.2009:
Es wurde ein Sicherheitsupdate für xt:Commerce 3.0.4SP2.1 gemeldet, der eine SQL-Injection-Schwachstelle im Shop schließen soll. Die Sicherheitslücke soll bereits aktiv ausgenutzt werden können, wobei Zugriff auf das verschlüsselte Passwort des Shop Administrators möglich sein soll.
Wir empfehlen DRINGEND diesen Fix sobald wie möglich einzuspielen und gegebenfalls das Passwort des Shopadmin zu ändern.
NEUER DOWNLOAD!

Ausgenutzt werden kann diese Lücke, wenn 2 Vorraussetzungen gegeben sind:

1. Aktivierte SEO-URL
2. gpg_magic_quotes= on

VOR DEM UPDATE DIE 2 DATEIEN SICHERN!!!

Wer den Fehler manuell beheben will hier die Vorgehensweise:

1. Öffnen der Datei /includes/application_top.php

Suche die Zeile (213):

$_GET[$vars[$i]] = htmlspecialchars($vars[$i +1]);

UND FÜGE DANACH FOLGENDES EIN:

if(get_magic_quotes_gpc()) $_GET[$vars[$i]] = addslashes($_GET[$vars[$i]]);

Suche die Zeile (221):

$_GET[$key] = htmlspecialchars($value);

UND FÜGE DANACH FOLGENDES EIN:

if(get_magic_quotes_gpc()) $_GET[$key] = addslashes($_GET[$key]);

2. Öffnen der Datei /includes/modules/metatags.php

Suche die Zeile (86):

WHERE content_group='" . $_GET['coID'] . "' and

UND ERSETZE DIESE MIT:

WHERE content_group='" . (int)$_GET['coID'] . "' and

Bei commerce:SEO können die Zeilennummern etwas abweichen.