Cross-Site-Scripting-Bug in PHP-Fusion gefixt
Die Entwickler von PHP-Fusion haben ein Sicherheitsloch in der Open-Source-CMS-Software geschlossen, durch das ein Angreifer an die Authentifizierungs-Cookies des anvisierten Opfers gelangen oder Aktionen in dessen Namen ausfĂĽhren konnte.
Die Entwickler von PHP-Fusion haben eine Cross-Site-Scripting-Lücke in der Open-Source-CMS-Software (Content Management System) geschlossen, durch das ein Angreifer an die Authentifizierungs-Cookies des anvisierten Opfers gelangen oder Aktionen in dessen Kontext ausführen konnte. Ein Exploit ist dem Advisory des PersianHacker Team beigelegt. Allerdings beschwerte sich Sheldon King vom PHP Fusion Beta Team auf Bugtraq, dass die Datei setuser.php -- in der der Fehler gefunden wurde -- nicht Bestandteil der aktuellen Version 5.01 von PHP-Fusion sei, sondern zu einem mod-Addon vom Entwickler Digitanium gehöre. Digitanium wolle das neue Login-System eigentlich erst in der kommenden Version 5.02 implementieren, erstellte aber einen Security-Fix für 5.01 und entschuldige sich dafür, dass dies das dritte Sicherheitsproblem in diesem Monat sei. Anwender von PHP-Fusion sollen die Datei fusion_core_php updaten, die aus dem Service Pack zu 5.01 entnommen werden kann.
Siehe dazu auch: (eck)
- Security Advisory von Pi3cH
- Download-Bereich von PHP-Fusion
