Schwachstellen in PHP-Nuke-Modul NukeBookmarks

In NukeBookmarks, einem Modul für PHP-Nuke zum Speichern persönlicher Bookmarks auf dem Server, wurden mehrere Schwachstellen aufgedeckt. Laut einem auf Bugtraq veröffentlichten Advisory findet sich in marks.php ein Fehler, mit dem sich der Installationspfad anzeigen lässt. Zudem filtert das Modul so gut wie keine übergebenen Nutzerparameter, sodass ein Angreifer sehr leicht HTML-Code in Seiten einschleusen kann, um Cross-Site-Scripting-Attacken durchzuführen. Außerdem kann ein Nutzer mittels SQL-Injection beliebige Inhalte der Datenbank abrufen, beispielsweise die PHP-Nuke-Autoren und deren Passwort-Hashes. Betroffen ist Version .6. In Version .7 sind die Fehler beseitigt. (dab)