Sicherheitslücke in der Komponente EasyBook
Geschrieben von: RenéM Montag, den 01. März 2010 um 20:04 Uhr
Es wurde eine Sicherheitslücke in der Komponente EasyBook entdeckt, die es Angreifern erlaubt beliebigen HTML- und Scriptcode einzuspeisen. EasyBook ist ein relativ beliebtes Gästebuchsystem für das Joomla Content - Management - System. Manipulierte Einträge werden direkt im Browser des Besuchers ausgeführt und erlauben unter anderem die Übernahme der laufenden Sitzung anderer Users, die den Eintrag aufrufen.
Die Experten von Secunia haben diese Sicherheitslücke in der aktuellen Version EasyBook 2.0 RC4 ausmachen können, schließen aber auch nicht aus, dass auch andere Versionen betroffen sein können. Auf Grund eines Fehlers in der Index.php lässt sich unter besonderen Umständen HTML- und Scriptcode über das Feld „Homepage“ einspeisen. In der Regel werden diese Elemente vor der Datenübernahme entfernt, was hier jedoch nicht der Fall ist.
Zwar bedeuten Angriffe solcher Art keine unmittelbare Gefährdung des normalen Besuchers, können aber wie gesagt unter Umständen dazu führen, dass fremde Accounts einfach übernommen werden können. Ganz besonders sind die Administratoren und Benutzer mit erweiterten Zugriffsrechten gefährdet, weil der Angreifer diese Berechtigungen im Falle einer Übernahme gleich mit übernimmt und diese zu seinen Zwecken missbrauchen kann.
Leider ist noch kein Patch für diese Sicherheitslücke verfügbar, so dass man gut damit beraten ist, erst einmal auf den Einsatz von EasyBook zu verzichten, bis dieses Problem behoben wurde!
Hey, schön das du hier liest. Über dein Feedback in den Kommentaren würden wir uns sehr freuen. Nur so wissen wir ob das was wir tun auch bei euch ankommt. Wenn dir unser Blog gefällt kannst du gerne den RSS-Feed abonnieren und uns auf Twitter folgen um auf dem Laufenden zu bleiben.
In diesem Sinne, schau bald wieder vorbei.
Die Jinsiders!
Kommentare (1)
Kommentar schreiben
Joomla 1.6 Serie
Letzte Kommentare
Letze Artikel
- Bock auf ein neues iPad2? Gewinne doch einfach eines! ;-)
- Deutsche SEO-Tools, nach dem Ende der Yahoo Siteexplorer API. Wohin geht die Reise der deutschen SEO-Tools?
- Joomla 1.6 – Das Unvermögen mancher Tester und die Gegendarstellung
- Abhängig vom quälenden Internetzugang als Webmaster
- Virtuemart Team veröffentlicht neue Version 1.1.7a
- JandBeyond 2011 - Organisatoren starten Aufruf zum Einsenden von Vorschlägen
- Sicherheitsupdate: Virtuemart in Version 1.1.7 erschienen
- Kurznews: Schwere Sicherheitslücke in Virtuemart 1.1.6 und darunter
Folge mir auf Twitter...
Virtuemart Templates
Community Komponente
J-Worker
Freunde
Joomla! Migration 1.0.x auf 1.5
Möchten Sie Ihre Joomla! 1.0.x Seite auf Joomla! 1.5.x upgraden? Kein Problem!
Lesen Sie hier, wie es geht!
SVN Anleitung
Möchten Sie immer die neuste Version von Joomla! installiert haben? Schauen Sie hier wie's geht.
Anleitung runterladen
Tipp: Style deinen VirtueMart
Stylen Sie Ihren Virtuemart und heben Sie sich von anderen Shops ab. Virtuemart Themes und Joomla eCommerce Templates
© 2008 by S&S Media Solutions | Sitemap | Team-login | Impressum Design by Joomla & Virtuemart Templates 
| Hosting by GN2-Hosting
