SQL-Einspeisung gegen bcoos gemeldet

Über eine Schwachstelle in bcoos können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen.

Laut einem Bericht von Secunia tritt die Sicherheitslücke in Version 1.0.13 von bcoos auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „cid“ in der Datei „viewcat.php“. Durch gezielte Manipulation dieser Eingaben können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen. Der Angriff setzt einen gültigen Benutzer voraus. Ein Patch ist bislang nicht bekannt. (twi)