Schwachstellen in PHP-Nuke-Modul NukeBookmarks
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
abruf
angreifer
anzeigen
attacke
autor
beliebige inhalte
bookmark
cross
fehler
injection
laut
modul
nutzer
pawort
speicher
-
Schwachstellen in PHP-Nuke-Modul NukeBookmarks
In NukeBookmarks, einem Modul f?r PHP-Nuke zum Speichern pers?nlicher Bookmarks auf dem Server, wurden mehrere Schwachstellen aufgedeckt. Laut einem auf Bugtraq ver?ffentlichten Advisory findet sich in marks.php ein Fehler, mit dem sich der Installationspfad anzeigen l?sst. Zudem filtert das Modul so gut wie keine ?bergebenen Nutzerparameter, sodass ein Angreifer sehr leicht HTML-Code in Seiten einschleusen kann, um Cross-Site-Scripting-Attacken durchzuf?hren. Au?erdem kann ein Nutzer mittels SQL-Injection beliebige Inhalte der Datenbank abrufen, beispielsweise die PHP-Nuke-Autoren und deren Passwort-Hashes. Betroffen ist Version .6. In Version .7 sind die Fehler beseitigt.
------------------------------------------------------------------
Hab ich heute auf www.heise.de entdeckt........ -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage