SQL Injection in “Library for Frontend plugins” (sg_zfelib)

In der Extension “Library for Frontend plugins” (sg_zfelib) wurde von Philipp Rocholl und Wassim Amouri die Möglichkeit zur Einschleusung von SQL-Code gefunden. Dadurch kann ein Angreifer Lese-Zugriff auf die Datenbank erlangen. Das Risiko ist daher als hoch eingestuft.

Durch einen Fix des Autors der Extension Stefan Geith konnte die Lücke in der neuesten Version geschlossen werden. Es wird dringend empfohlen auf die Version 1.1.513 zu updaten.

Da zahlreiche Extensions (sg_newsplus, sg_address, sg_avmedia, sg_event, sg_genealogy, sg_glossary, sg_newsletter, sg_prodprom, sg_smallads, sg_userdata, sg_filelist, sg_dictionary) die sg_zfelib-Extension verwenden sollte auch dann ein Update gefahren werden.

Geschrieben am Dienstag, 27. Mai 2008 von Sebastian und abgelegt unter Security. Verfolgen Sie die Diskussion zu diesem Beitrag per RSS 2.0 Feed. Sie können diesen Beitrag kommentieren oder einen Trackback von Ihrer eigenen Webseite setzen.