Sicherheitslücken in Vikingboard entdeckt

Aufgrund der mangelhaften Bereinigung des Formularfeldes "pm_title" werden Informationen beim Versenden von privaten Nachrichten nicht ausreichend überprüft. Dies können Angreifer ausnutzen, um beliebigen HTML- und Script-Code ins System einzuschleusen, der dann im Kontext der Website im Browser des Benutzers als Cross-Site-Scripting (XSS) ausgeführt wird. Die zweite Sicherheitslücke basiert auf dem "act" Parameter in der Datei "admin.php", deren Werte vor der Rückgabe nicht korrekt bereinigt werden. Auf diese Weise lassen sich eigene Dateien aus lokalen Quellen ins System einspeisen. Die Sicherheitslücken wurden für Version 0.1.2 bestätigt. Ein Patch steht nicht zur Verfügung, es empfiehlt sich die Bereinigung der entsprechenden Eingaben per Hand. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.