Huschi
Moderator
Betroffen:
Alle älteren Versionen
Sicherheitslücke:
Die in Version .750 entdeckten Schwachstellen ermöglichen neben Cross-Site-Scripting einem Angreifer, das Administrator-Passwort auszuspähen sowie eigenen Code hochzuladen und unter Umständen auszuführen. Da die gefundenen Lücken auf einer fehlenden Typvalidierung beruhen, versagt der eingebaute Anticracker, PostNukes Schutz gegen das Einschleusen von Code.
Schutz ohne Update
Alle 777-Verzeichnisse mit einem .htaccess-Deny versehen. Dann ist zwar die Einschleusung immer noch gegeben, aber kein Ausführen auf dem Server möglich.
huschi.
Alle älteren Versionen
Sicherheitslücke:
Die in Version .750 entdeckten Schwachstellen ermöglichen neben Cross-Site-Scripting einem Angreifer, das Administrator-Passwort auszuspähen sowie eigenen Code hochzuladen und unter Umständen auszuführen. Da die gefundenen Lücken auf einer fehlenden Typvalidierung beruhen, versagt der eingebaute Anticracker, PostNukes Schutz gegen das Einschleusen von Code.
Schutz ohne Update
Alle 777-Verzeichnisse mit einem .htaccess-Deny versehen. Dann ist zwar die Einschleusung immer noch gegeben, aber kein Ausführen auf dem Server möglich.
huschi.