SQL-Einspeisung gegen JobSite Pro gemeldet

Nach einem Bericht des Milw0rm Projekts tritt die Schwachstelle in der aktuellen Version 2.0 von JobSite Professional auf. Ein entsprechender Proof-of-Concept für den Angriff ist vorhanden. Die Schwachstelle entsteht durch die mangelhafte Bereinigung von Benutzereingaben an den Parameter „id“ (Datei: „file.php“). Durch gezielte Manipulation solcher Eingaben können Angreifer beliebigen SQL-Code einspeisen und beispielsweise in den Besitz der Administrator Zugangsdaten gelangen. Da kein Patch existiert, empfiehlt sich die Korrektur der betroffenen Codepassage direkt im Quellcode von JobSite Professional. (vgw)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.