Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
PHP Nuke 7, kritischer Fehler
#1
Paisterist meldet zwei Schwachstellen in PHP-Nuke, ueber die Angreifer eine SQL-Einspeisung-Attacke vornehmen koennen.

Eingaben ueber den Parameter "sid" in der Datei "modules/News/index.php" von "modules.php" werden vor der Verwendung in SQL-Abfragen nicht ausreichend bereinigt. Dies kann der Angreifer ausnutzen um SQL-Abfragen durch Einspeisen beliebigen SQL-Codes zu manipulieren.

Eine erfolgreiche Attacke ermoeglicht den Einblick in Benutzernamen und Hashes der Kennwoerter der Administratoren, setzt jedoch voraus, dass die php.ini Option "magic_quotes_gpc" deaktiviert und der Angreifer den Prefix der Datenbank Tabellen kennt.

Die Sicherheitsluecken sind bestaetigt fuer Version 7.9. Andere Versionen
koennten jedoch ebenfalls betroffen sein.
Mit freundlichen Grüßen / Best Regards

Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg

Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Zitieren


Nachrichten in diesem Thema
PHP Nuke 7, kritischer Fehler - von ok-webhosting - 30.11.2006, 00:12:56

Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste