SQL-Einspeisung gegen PHP Homepage möglich

Über eine Schwachstelle in PHP Homepage können Angreifer unter Umständen beliebigen SQL-Code einspeisen. Betroffen ist Version 1.0.

Nach einer Meldung des Milw0rm Projekts, die einen entsprechenden Proof-of-Concept enthält, tritt die Schwachstelle in der aktuellen Version 1.0 von PHP Homepage auf. Sie entsteht durch die mangelhafte Bereinigung von Benutzereingaben an den Parameter „id“ (Datei: „gallery.php“) und tritt auf, wenn der Parameter „act“ auf „show“ gesetzt ist. Angreifer können durch gezielte Manipulation beliebigen SQL-Code in betroffene Systeme einspeisen. Da kein Patch existiert, wird empfohlen, die Eingaben per Korrektur im Quellcode oder durch Filter, wie eine Firewall oder einen Proxy-Server, abzufangen. (vgw)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner