Index: /changelog
===================================================================
--- /changelog	(revision 7025)
+++ /changelog	(revision 7026)
@@ -114,4 +114,5 @@
 - Bugfix: Produktbewertung mittels globale Kommentarfunktion aktivierbar
 - Bugfix: Gutscheinprodukte sind jetzt zu den erstellten PDFs im Backend verlinkt
+- Bugfix: Sicherheitsbugfix
 - Feature: Produktvarianten - Export von Produktname / Produktartikelnummer ÃŒber Exportprofile mÃ¶glich
 - Feature: Lagerbestand - Export vom Lagerbestand / Mindestlagerbestand ÃŒber Exportprofile mÃ¶glich
Index: /controller/wpsg_SystemController.class.php
===================================================================
--- /controller/wpsg_SystemController.class.php	(revision 7025)
+++ /controller/wpsg_SystemController.class.php	(revision 7026)
@@ -628,4 +628,11 @@
             else throw new \wpsg\Exception(wpsg_translate(__('Template (#1#) Datei nicht gefunden', 'wpsg'), $file), \wpsg\Exception::TYP_UNEXPECTED);
 
+            // Ich lasse nur Dateien unterhalb von wp-content zu aus SicherheitsgrÃŒnden
+            if (strpos(sanitize_file_name(realpath($render_file)), sanitize_file_name(WPSG_PATH_CONTENT)) !== 0) {
+                 
+                throw new \Exception(__('Zugriffsfehler!', 'wpsg'));
+                
+            }
+                        
             return $render_file;
 
Index: /mods/wpsg_mod_productindex.class.php
===================================================================
--- /mods/wpsg_mod_productindex.class.php	(revision 7025)
+++ /mods/wpsg_mod_productindex.class.php	(revision 7026)
@@ -35,5 +35,5 @@
 		public function content_filter(&$content)
 		{
-
+		    
 		    $id = wpsg_get_the_id();
 
@@ -45,4 +45,6 @@
 			{
 
+                $_REQUEST = wpsg_xss($_REQUEST);
+			    
 				// Theme ÃŒbernehmen?
 				if (class_exists('\\sto\\frontend\\Productindex') && in_array(get_post_meta($id, 'wpsg_mod_productindex_template', true), array('0', '1')))
@@ -71,9 +73,10 @@
 
 				$arTemplates = $this->getTemplates();
+				
 				if (is_numeric($template))
 					$templatefile = $arTemplates[$template];
 				else
 					$templatefile = $template;
-
+				
 				//$this->shop->view['wpsg_mod_productindex']['template'] = $template;
 
@@ -81,5 +84,5 @@
 
 				$this->shop->view['wpsg_mod_productindex']['template'] = $templatefile;
-
+ 
 				$content = $this->shop->render(WPSG_PATH_VIEW.'/mods/mod_productindex/layouts/'.$templatefile, false);