SQL-Einspeisung gegen MyTopix gemeldet

Über eine Sicherheitslücke in MyTopix können Angreifer beliebigen SQL-Code einspeisen und die Datenbank eines betroffenen Systems manipulieren.

Laut einem Bericht von Secunia tritt die Sicherheitslücke in Version 1.3.0 von MyTopix auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „send“. Sie tritt auf, wenn die Parameter „a“ und „CODE“ auf die Werte „notes“ und „07“ gesetzt sind. Angreifer können durch Manipulation dieser Eingaben beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen oder deren Inhalte auslesen. Ein Patch ist bislang nicht bekannt.