Cloneportal.de

Beim durchstöbern durch das neue Administrationssystem von phpNuke 7.5 bin ich auf schwere Sicherheitslöcher gestossen.

Alle Module, die den neuen admin-Ordner im Modul-Ordner verwenden, können ohne Adminrechte, fast beliebig manipuliert werden.

Mir war es auf meinem Testsystem durch einfache URL-Manipulation möglich, Downloadkategorien anzulegen und User zu löschen. Mehr habe ich noch nicht getestet. Es ist aber mit Sicherheit über den gleichen Weg möglich auch alle anderen Adminfunktionen dieser Module zu steuern.

Von der Installation dieser Version muss deshalb dringend abgeraten werden.

Wie bereits teilweise durchgesickert, haben wir in den letzten Tagen an einem kleinen Bugfix für das vkpMx 2.1 gearbeitet und hier gleich die pro-Funktionen des mX 2.2 eingebaut.
Weiterhin haben wir in dieser Version das Setup etwas überarbeitet (Stichwort Schritt 8 etc.), die neue themeEngine und das detection-System integriert, sowie ein paar kleine Fehlerchen gefixt.
Diese 2.1.a Version umfasst nur das Basispack. Am Addonpack, sprich den GPL-Erweiterungen, hat sich gegenüber 2.1 nichts geändert.