SQL-Einspeisung gegen Kasra CMS gemeldet

Über eine Sicherheitslücke im Content-Management-System Kasra CMS können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Sicherheitslücke in der aktuellen Version von Kasra CMS auf. Die Schwachstelle entsteht durch die mangelhafte Bereinigung von Eingaben, die an die Parameter „cont“ und „shme“ in der Datei „index.php“ übergeben werden. Durch gezielte Manipulation dieser Parameter können Angreifer beliebigen SQL-Code einspeisen. Ein Zugriff auf Benutzername und Kennwort des Administrators ist möglich. Ein Patch ist bislang nicht bekannt. (twi)