Wieder Lücke in PHProjekt

Die Entwickler der beliebten Open-Source Groupware-Suite PHProjekt weisen auf eine weitere kritische Sicherheitslücke hin, mit der Angreifer das System unter ihre Kontrolle bringen können. Zuletzt wurde ein kritischer Fehler in der Setup-Routine beseitigt, über den sich die Konfiguration der Installation nachträglich ohne Admin-Rechte ändern ließ. Der nun aufgedeckte Fehler in der Login-Funktion authform.inc.php erlaubt durch das Manipulieren des Parameters path_pre beliebige externe Skripte einzubinden und auszuführen. Voraussetzung ist allerdings, dass register_globals aktiviert ist. Die Lücke ist in Version 4.2.3 geschlossen.

Siehe dazu auch:

• security fix for login routine von PHProjekt