Mehrere Sicherheitslücken in Brim gemeldet

Über eine Reihe von Schwachstellen in Brim, einer webbasierten Anwendung zur Verwaltung von persönlichen Informationen, können Angreifer verschiedene Lücken ausnutzen.

Laut einer Meldung der Sicherheitsexperten von Secunia wurden die Schwachstellen in der aktuellen Version 2.0.0 von Brim nachgewiesen. Andere Versionen sind unter Umständen ebenfalls betroffen. Alle aufgeführten Sicherheitslücken entstehend durch die mangelhafte Bereinigung von Eingaben an verschiedene Parameter: Über den „value“ Parameter in „index.php“ können Angreifer beliebige SQL-Abfragen an die Datenbank eines betroffenen Systems absetzen. Diese Lücke tritt auf, wenn die Parameter „plugin“ und „action“ auf „tasks“ und „searchTasks“ gesetzt sind. Die zweite Schwachstelle tritt ebenfalls in „index.php“ auf. Über den Parameter „name“ können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer Anwender einspeisen. Ein Patch lag bis zum Redaktionsschluss nicht vor. (vgw)