SQL-Einspeisung gegen CMS KwsPHP möglich

Nach einem Bericht des Milw0rm Projekts wurde die Sicherheitslücke in der aktuellen Version 1.0.85 von KwsPHP nachgewiesen. Der Bericht enthält einen Proof-of-Concept in Form von Perl-Code. Die Schwachstelle entsteht in der Datei „index.php“ durch die mangelhafte Überprüfung von Eingaben an den Parameter „newsletter“. Durch gezielte Manipulation dieses Parameters können Angreifer beliebigen SQL-Code in betroffene Systeme einspeisen. Da kein Patch existiert, wird empfohlen, die Eingaben durch den Einsatz eines externen Filters (Firewall oder Proxy-Server) zu bereinigen. (vgw)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.