WebCalendar erlaubt unautorisierten Datenbankzugriff

Scovetta Labs berichtet über eine Schwachstelle in der PHP-Applikation WebCalendar, die über ein Web-Frontend Kalenderfunktionen für einzelne Anwender und Gruppen bereitstellt. Über speziell präparierte Cookies kann ein Angreifer SQL-Befehle an die Applikation senden, die diese ungefiltert an die Datenbank weiterreicht. Laut Advisory war zumindest Version 0.9.45 betroffen, in 0.9.5 hätten die Entwickler den Fehler behoben.

Siehe dazu auch: (ju)

• Security Advisory von Scovetta Labs
• Giftspritze; SQL-Injection - Angriff und Abwehr Hintergrundartikel auf heise Security