In Zen-Cart 1.3.9h könnte es möglich sein, folgende hier beschriebene Sicherheitslücke auszunutzen:
OffSec’s Exploit Database Archive
http://www.exploit-db.com/exploits/15409/
Zen Cart 1.3.9h - Local File Inclusion. CVE-68989 . webapps exploit for PHP platform

Bisher konnte ein solcher Angriff noch nie erfolgreich durchgeführt werden, daher wurde dazu bisher auch kein Patch veröffentlicht.

Die nächste Zen-Cart Version wird einen Fix dazu enthalten.

Wer ganz sicher gehen will, spielt die folgende Änderung ein
(Empfehlung von Dr. Byte):

includes/initsystem.php

Direkt unter dem beginnenden <?php in Zeile 2 folgendes einfügen:

Code:
if (!defined('IS_ADMIN_FLAG')) {
  die('Illegal Access');
}
so dass es dann so aussieht:

Code:
<?php
if (!defined('IS_ADMIN_FLAG')) {
  die('Illegal Access');
}