Lücken im CMS phpwcms

Im Content-Management-System phpwcms wurden zwei schwerwiegende Sicherheitslücken entdeckt. Die eine erlaubt es Angreifern, beliebigen PHP-Code einzuschleusen, die andere ermöglicht das Versenden von E-Mails an beliebige Adressen, was sich zum Beispiel für den Spam-Versand ausnutzen lässt.

Um die Fehler zu umgehen, empfiehlt Oliver Georgi, der Autor von phpwcms, das automatisch installierte Verzeichnis mit Beispiel-Code zu löschen. Außerdem sollen phpwcms-Anwender an den "E-Mail Formulargenerator" nicht mehr benutzen, sondern alle Formulare mittels "E-Mail Kontaktformular" anbieten. Dann können sie das betroffene Skript act_formmailer löschen. (je)