SQL-Einspeisung gegen FlexPHPSite möglich

Über eine Sicherheitslücke in FlexPHPSite können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 0.0.7 von FlexPHPSite auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an die Parameter „checkuser“ und „checkpass“ in der Datei „admin/index.php“. Eingaben, die an „admin/usercheck.php“ übergeben werden, lassen sich zur Einspeisung von beliebigem SQL-Code missbrauchen. Ein Patch liegt bislang nicht vor.