Zwei Sicherheitslücken in LightBlog gemeldet

Über zwei Schwachstellen in LightBlog können Angreifer unter Umständen vertrauliche Informationen wie Kennwörter enthüllen.

Laut einem Bericht von Secunia wurden die Sicherheitslücken für Version 9.8 bestätigt. Andere Versionen von LightBlog sind unter Umständen ebenfalls betroffen. Die Sicherheitslücken entstehen durch die mangelhafte Bereinigung von Eingaben an die Parameter „username_post“ und „Lightblog_username“ in den Dateien „login.php“ und „check_user.php“. Durch gezielte Manipulation dieser Eingaben können Angreifer mittels eines Verzeichniswechselangriffs beliebige Dateien eines betroffenen Systems einsehen. Ein Patch steht bislang nicht zur Verfügung. (twi)