Sicherheitslücke in TinyBB

TinyBB ist derzeit anfällig für eine Schwachstelle. Eingaben in den Parameter "id" auf der Seite index.php werden in inc/tinybb-settings.php nicht ausreichend überprüft, bevor eine SQL-Abfrage an den Server gesendet wird. Somit lassen sich SQL-Abfragen manipulieren, indem beliebiger SQL-Code eingespeist werden kann.

Ein erfolgreicher Angriff funktioniert nur, wenn magic_quotes_gpc deaktiviert ist. Bestätigt ist die Sicherheitslücke in Version 1.2. Andere Varianten könnten ebenfalls betroffen sein. Ein Update steht derzeit nicht zur Verfügung. Anwender könnten den Quellcode umschreiben, um die Schwachstelle auszumerzen. (jdo)