Kritische Lücke in AJAX-Framework PAJAX geschlossen

Anwender des Open Source AJAX-Frameworks PAJAX sollten auf die aktuelle Version 0.5.2 updaten, weil damit eine Sicherheitslücke geschlossen wurde, mit der Angreifer eigenen PHP-Code auf dem Server ausführen können. Wie der Name schon vermuten lässt, ist PAJAX ein Framework, um PHP-Objekte AJAX-kompatibel zum machen. AJAX (Asynchronous Javascript and XMList) ist die bei Web 2.0 verwendete Technik zur flexibleren Datenübertragung zwischen Server und Browser. PAJAX stellt einen Konnektor zur Verfügung, der ein JavaScript-Interface für XMLHttpRequests emuliert.

Durch die Sicherheitslücke im Module pajax_call_dispatcher.php ist es möglich, über präparierte Variablen in POST-Requests Code einzuschmuggeln und von PAJAX ausführen zu lassen. Des Weiteren erlaubt PAJAX Anwendern die Angabe benutzerdefinierter Klassennamen, was sich zum Ausbruch aus den vorgegebenen Pfaden ausnutzen lässt. Die Entdecker der Lücken, das RedTeam Pentesting, haben für die erste Lücke einen Proof-of-Concept zur Demonstration in ihrem Fehlerbericht veröffentlicht.

Siehe dazu auch: (dab)

• PAJAX Remote Code Injection and File Inclusion Vulnerability, Fehlerbericht von RedTeam Pentesting