Laut einer Meldung von Security Reason tritt die Sicherheitslücke in Version 1.2 der Blog-Software „Blog System“ auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen.
Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Benutzereingaben und ist bei zahlreichen Aufrufen von Blog System möglich. So erlaubt beispielsweise der Aufruf
http://[HOST]/blog.php?user=[USER]¬e=-99[SQL]
die Einspeisung von beliebigem SQL-Code bei Ansicht eines Benutzerprofils. Ein Patch steht bislang nicht zu Verfügung, es wird empfohlen, ein anderes Blog-Tool zu verwenden. (vgw)