vBulletin verrät MySQL-Login

Ein Fehler im FAQ-Modul führt dazu, dass eine Suche nach dem Begriff "Database" die MySQL-Zugangsdaten ausspuckt.

In Pocket speichern vorlesen Druckansicht 97 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

vBulletin öffnet Hackern Tür und Tor.

(Bild: heise Security)

Eine kritische Sicherheitslücke in der weit verbreiteten Forensoftware vBulletin führt dazu, dass Angreifer mit minimalem Aufwand an die Zugangsdaten des MySQL-Servers gelangen. Füttert man das FAQ-Modul mit dem Suchbegriff "Database", präsentiert es dem Besucher die vertraulichen Daten auf dem Silbertablett, wie man diversen Blogs entnehmen kann.

Mit den Zugangsdaten haben Angreifer die Macht über den gesamten Datenbestand des Forums, einschließlich der persönlichen Daten der Forenuser. Betroffen ist laut Hersteller Version 3.8.6 der Software. Ein Patch ist bereits verfügbar. Bei einer kurzen Google-Recherche stieß heise Security auf zahllose verwundbare Seiten, die sich für den Angriff ausnutzen ließen. (rei)