NewsPortal WebNewsReader führt untergeschobenen PHP-Code aus
Das Web-Front-End NewsPortal zum Lesen von Newsgroups ist anfällig für die Ausführung von untergeschobenen PHP-Code, sofern die PHP-Option register_globals aktiviert ist.
Die PHP-Skriptsammlung NewsPortal, ein Web-Front-End zum Lesen von Newsgroups, enthält in Versionen vor 0.37 eine Schwachstelle im Skript poll.php, durch die Angreifer PHP-Code einschleusen könnten, der auf dem Server ausgeführt wird. Die PHP-Option register_globals muss jedoch aktiviert sein, damit die Schwachstelle ausnutzbar ist.
Die Version 0.37 von NewsPortal enthält diese Schwachstelle nicht mehr. Alternativ schlägt der Entwickler in einer Sicherheitsmeldung als Umgehungsmaßnahme vor, die anfällige Datei extras/extras/poll/poll.php zu löschen.
Siehe dazu auch: (dmk)
- Newsportal: code injection vulnerability, Sicherheitsmeldung von Florian Amrhein
- Download der aktualisierten NewsPortal-Version
