Geeklog 1.3.9sr2 und 1.3.8-1sr6

1. Durch die Verwendung einer ungefilterten Variablen in den Sprachdateien war eine Cross Site Scripting-Attacke möglich.
   Von dem Problem nicht betroffen sind german.php und german_utf-8.php, wohl aber german_formal.php sowie alle anderen Sprachen.
2. Es war möglich, Kommentare zu Artikeln und Umfragen zu posten, auch wenn Kommentare dort eigentlich deaktiviert waren. Die Kommentare wurden allerdings nie angezeigt.

Geeklog 1.3.9sr2 enthält zusätzlich noch eine korrigierte lib-plugins.php, die Probleme unter PHP 5 behebt (nicht sicherheitsrelevant). Das Geeklog 1.3.9sr2 Komplettarchiv enthält ferner auch aktualisiert PEAR-Pakete, die einige der gemeldeten E-Mail-Probleme beheben sollten.

Wer Änderungen in den Sprachdateien vorgenommen hat, kann zumindest das XSS-Problem auch selbst korrigieren, indem im Textstring Nr. 3 in $LANG05 die Variable {$topic} gegen %s ersetzt wird.