Cross-Site-Scripting gegen PHP-Fusion gemeldet

Nach einer Meldung der Sicherheitsexperten von Secunia wurde die Schwachstelle in der aktuellen Version 6.01.10 nachgewiesen. Die Sicherheitslücke entsteht in der Datei „maincore.php“ und basiert auf der fehlerhaften Bereinigung von Benutzereingaben an die Konstante „FUSION_QUERY“. Angreifer können hier Code einspeisen, der in der Sitzung eines weiteren Benutzers von PHP-Fusion ausgeführt wird. Ein erfolgreicher Angriff setzt voraus, dass das Opfer angemeldet ist. Da kein Patch existiert, wird empfohlen, die betroffenen Codepassagen per Hand anzupassen. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.