SQL-Einspeisung gegen Butterfly Organizer möglich

Über eine Sicherheitslücke in der Online-Organizer-Anwendung Butterfly können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 2.0.1 von Butterfly Organizer auf. Andere Versionen der PHP-basierten Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke ist auf die mangelhafte Bereinigung von Eingaben zurückzuführen, die an die Parameter „id“ und „mytable“ in der Datei „view.php“ übergeben werden. Durch gezielte Manipulation solcher Eingaben können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen. Ein Patch liegt bislang nicht vor.