SQL-Einspeisung gegen Joomla Eventing möglich

Über eine Sicherheitslücke in der Joomla Komponente Eventing können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in der aktuellen Version der Joomla Komponente Eventing auf. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „catid“ in der Datei „index.php“ und tritt auf, wenn „option“ auf „com_eventing“ gesetzt ist. Durch gezielte Manipulation können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen. Ein Patch ist bislang nicht bekannt.