SQL-Einspeisung gegen PHP InfoBoard gemeldet

Über eine Sicherheitslücke in PHP InfoBoard können Angreifer beliebige SQL-Befehle an die Datenbank eines betroffenen Systems absetzen.

Laut einer Meldung der Sicherheitsexperten von Secunia verursachen zwei Schwachstellen in Version 7 Plus von PHP InfoBoard das Problem. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Ausgelöst wird die Sicherheitslücke durch die mangelhafte Bereinigung verschiedener Parameter: „idcat“ aus „showtopic.php“ sowie „isname“ aus „index.php“ sind betroffen. Angreifer, die diese Parameter entsprechend manipulieren, können beliebigen SQL-Code in die Datenbank des Systems einspeisen. Ein Patch ist bisher nicht bekannt. (vgw)