Unangenehme Lücken in Confixx Pro

Mögliche Effekte dieser Security-Lücke sind Cross-Site-Scripting- oder SQL-Injection-Angriffe. Eingaben des „jahr“-Parameters in der Datei allgemein_transfer.php werden nicht ausreichend überprüft, bevor die Software diese an den Benutzer zurückgibt. Das ließe sich eventuell ausnutzen um HTML- und Script-Code in der Browser-Session eines Anwenders auszuführen. Ein Beispiel hierfür wäre: http://[host]/allgemein_transfer.php?monat=4&jahr=[code].

Eingaben in den „SID“-Parameter in der Datei index.php überprüft die Software nicht ausreichend, bevor diese in SQL-Abfragen benutzt werden. Damit ließen sich SQL-Abfragen manipulieren, indem sich beliebiger SQL-Code einschleusen lässt. Die Lücken betreffen sowohl Confixx Pro 2 als auch Confixx Pro 3. Einziger Lösungsvorschlag ist ein editieren des Codes um die Fehler auszumerzen. (jdo)

Sie interessieren sich für Linux? Dann abonnieren Sie doch den kostenlosen Linux-Newsletter von tecCHANNEL. Er wird in der Regel ein Mal pro Woche am Freitag verschickt und enthält nur die für Linux-Anwender relevanten News und Beiträge von tecChannel.de. So sparen Sie Zeit und sind trotzdem voll informiert. Hier geht es zur Anmeldeseite.