Kritisch
Auswirkungen:
Veraenderung von Daten
Angriffsweg(e):
von extern
Software:
phpMyForum 4.x
Beschreibung:
Ueber eine Schwachstelle in phpMyForum koennen Angreifer eine SQL-Injection-
Attacke vornehmen.
Eingaben an unbekannte Parameter in der Datei „editpost.php“ werden vor der
Verwendung in SQL-Abfragen nicht ausreichend ueberprueft. Dies kann der
Angreifer ausnutzen, um SQL-Abfragen durch Einspeisen beliebigen SQL-Codes zu
manipulieren.
Ein erfolgreicher Angriff erlaubt unter Umstaenden Zugriff auf den
administrativen Bereich.
Anmerkung: Die Sicherheitsluecke wird momentan aktiv missbraucht.
Die Sicherheitsluecke ist bestaetigt fuer alle Versionen vor 4.1.4.
Loesung:
Aktualisieren Sie auf Version 4.1.4.
Original Security-Report:
http://support.phpmyforum.de
Gemeldet von:
Discovered as a 0-day and reported in a vendor forum.
Herausgegeben von:
Tecchannel.de
Keine Kommentare:
Kommentar veröffentlichen