Schwachstellen in PHP-Fusion ausgebessert

Die aufgedeckten Sicherheitslücken lassen sich für so genannte Cross-Site-Scripting-Angriffe oder Datenmanipulation ausnutzen. Eingaben in den submit_info[]-Parameter überprüft die Software teilweise nicht ausreichend, bevor sie diese in SQL-Abfragen verwendet. Somit lassen sich unter Umständen SQL-Anweisungen manipulieren. Ein erfolgreicher Angriff setzt voraus, dass register_globals aktiviert und magic_quotes_gpc deaktiviert ist. Diese Sicherheitslücke ist bestätigt für Version 7.00.2. Andere Varianten könnten ebenfalls betroffen sein.

Nicht näher beschriebene Parameter werden vor einer Nutzung ebenfalls nicht ausreichend überprüft. Damit könnte sich beliebiger HTML- oder Script-Code in der Browsersitzung eines Anwenders ausführen lassen. Diese Sicherheitslücke bestätigt der Hersteller für die Versionen 7.00.3 und früher sowie 6.01.17 und früher. Als Lösung schlagen die Entwickler Updates auf 7.00.4 oder 6.01.18 vor.