|
Blind SQL Injection in eventCal |
|
|
|
Geschrieben von Uwe Walter
|
|
Montag, 05.07.2010 |
|
In der Joomla!™ Komponente eventCal 1.6.4 wurde eine kritische Sicherheitslücke gefunden, durch Die ein entfernter Angreifer über eine so genannte Blind SQL Injection1 Attacke gefährlichen SQL Code in die Datenbank einschleusen kann.
Bei dem Fehler handelt es sich um die fehlende Validierung des numerischen Parameters Itemid. Der Angreifer ist somit in der Lage in den Besitz von sensiblen Daten wie beispielsweise die Logindaten des Superadministrators zu gelangen, oder im schlimmsten Fall aber das zugrundeliegende Datenbank System anzugreifen, sofern eine Sicherheitslücke dafür bekannt ist.
Leider ist derzeit nicht bekannt, ob der Hersteller bereits auf das Bekanntwerden der Sicherheitslücke reagiert hat. Es wird daher empfohlen, den NinjaForge Injection Scanner NinjaSecurity3 zu verwenden, die Komponente oder zugehörige Module vorübergehend zu deaktivieren, oder auf vergleichbare Software auszuweichen.
Links:
|
Startseite 