schwere Sicherheitslöcher in phpNuke 7.5

Rund um PHP-Nuke Beim durchstöbern durch das neue Administrationssystem von phpNuke 7.5 bin ich auf schwere Sicherheitslöcher gestossen.

Alle Module, die den neuen admin-Ordner im Modul-Ordner verwenden, können ohne Adminrechte, fast beliebig manipuliert werden.

Mir war es auf meinem Testsystem durch einfache URL-Manipulation möglich, Downloadkategorien anzulegen und User zu löschen. Mehr habe ich noch nicht getestet. Es ist aber mit Sicherheit über den gleichen Weg möglich auch alle anderen Adminfunktionen dieser Module zu steuern.

Von der Installation dieser Version muss deshalb dringend abgeraten werden.

Submitted by Andi on Saturday, September 18 2004

Note:

weitere Info hier: http://vkp.shiba.de/doku/nuke75.htm



schwere Sicherheitslöcher in phpNuke 7.5

No Comments Allowed for Anonymous, please register

The comments are owned by the poster. We aren't responsible for their content.