Menü
Alert!

Mehrere Lücken in Forensoftware phpBB

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge
Von

Die populäre Forensoftware phpBB enthält mehrere Schwachstellen. Aufgrund unzureichender Filterung von Benutzerparametern kann ein Angreifer eigene Kommandos an die SQL-Datenbank übergeben. Zudem ist die Software für Cross-Site-Scripting-Angriffe anfällig. Über das Modul viewtopic.php lassen sich unter Umständen sogar beliebige Kommandos auf dem Webserver ausführen. Betroffen sind alle Versionen bis einschließlich 2.0.10. Die Entwickler haben die Version 2.0.11 zum Download bereitgestellt, in der die Fehler beseitigt sind.

Zusätzlich haben die Entwickler einen kritischen Fehler im optionalen Modul Cash_Mod behoben, über den Angreifer beliebige PHP-Dateien von externen Quellen in eine Seite einbinden und ausführen können. Voraussetzung dafür ist allerdings, dass die Eigenschaften register_globals und allow_url_fopen gesetzt sind. In Version 2.2.2 des Moduls ist die Lücke nicht mehr vorhanden.

Siehe dazu auch: (dab)