Neue Version von CMS Made Simple schließt Lücken

Über eine Reihe von Schwachstellen im PHP-basierten Content Management System CMS Made Simple konnten sich Angreifer Zugriff auf ein betroffenes System verschaffen.

Laut einem Bericht der Sicherheitsexperten von Secunia wurden die Schwachstellen für Version 1.2.4 von CMS Made Simple gemeldet. Frühere Versionen des Content Management Systems sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch einen Fehler bei der Verarbeitung von Dateien, die mit „javaUpload.php“ (Modul: FileManager) hochgeladen wurden und keine eindeutige Dateiendung besitzen. Durch gezielte Manipulation von Dateinamen können Angreifer unter Umständen beliebige Skript-Dateien in das HTDOC-Verzeichnis des verwendeten Webservers einschleusen. Die Sicherheitslücke wird in der neusten Version 1.2.5 von CMS Made Simple geschlossen. (vgw)