Kritische Sicherheitslücken in CMS From Scratch

Über eine Reihe von Sicherheitslücken in CMS From Scratch können Angreifer sich unter Umständen Zugriff auf ein betroffenes System verschaffen.

Laut einem Bericht von Secunia treten die Sicherheitslücken in Version 1.1.4b des Content Management System auf. Andere Versionen von CMS From Scratch sind unter Umständen ebenfalls betroffen. Ziel der Angreifer sind die Dateien „cms/images.php“ und „cms/files.php“. Durch gezielte Manipulation des Parameters „dir“ lässt sich ein Verzeichniswechselangriff gegen ein betroffenes System durchführen. Noch kritischer ist die mangelhafte Überprüfung der Dateierweiterung beim Upload neuer Dateien. Angreifer, die eine PHP-Datei auf diese Weise auf den Server stellen, können deren Code zur Ausführung bringen. Ein Patch ist bislang nicht bekannt. (vgw)