Sicherheitslücke in Groupware PHProjekt

Die beliebte Open-Source Groupware-Suite PHProjekt enthält einen kritischen Fehler in der Setup-Routine, über den sich die Konfiguration der Installation nachträglich ohne Admin-Rechte ändern lässt. Nach Angaben von Martin Münch vom Sicherheitsdienstleister it.sec ist es so möglich, mit dem standardmäßig angelegten Test-Account beliebige PHP-Skripte hochzuladen und zu starten. Zudem lässt sich durch den Fehler auch ohne Testkonto das Datenbank-Passwort ermitteln. Der Fehler findet sich in allen Versionen von PHProjekt. Die Entwickler haben eine neue Setup-Datei setup.php zum Download bereitgestellt, die die Sicherheitslücke beseitigt.

Siehe dazu auch: (dab)

• Security Advisory von PHProjekt