Download beliebiger Dateien

Kritische Sicherheitslücke in Vivvo CMS gemeldet

Über eine Sicherheitslücke im Content Management System Vivvo CMS können Angreifer beliebige Dateien - wie beispielsweise Kennwörter - herunterladen.

Nach einem Bericht von Security Reason tritt die Sicherheitslücke in der aktuellen Version 4.1.5.1 von Vivvo CMS auf. Andere Versionen des Content Management System sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke wird durch die gezielte Manipulation von Post-Parametern und Cookies möglich. Über ein kurzes Script ersetzt der Angreifer den bestehenden Pfad zur Vivvo CMS Anwendung durch einen beliebigen und kann auf beliebige Dateien zugreifen. Die Sicherheitslücke ist aktuell noch nicht gepatcht. (vgw)