Mehrere ungepatchte Lücken im Open-Source-CMS Mambo

Die Lücken ermöglichen unter anderem das Hinzufügen von Admin-Konten und das Umkonfigurieren des Systems.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

In dem auf PHP und MySQL beruhenden Content-Management-System Mambo stecken laut einem Fehlerbericht vier Schwachstellen, durch die Angreifer vertrauliche Daten ausspähen oder das System beschädigen können. So filtert das Skript mambots/editors/mostlyce/jscripts/tiny_mce/filemanager/connectors/php/connector.php den Inhalt des Parameters file[NewFile][tmp_name] nicht richtig, sodass sich durch spezielle Angaben Dateien auf dem Server löschen lassen, etwa die Datei configuration.php. Sofern der Administrator das Mambo-Installationsverzeichnis nicht gelöscht oder umbenannt hat, soll es durch das Hochladen einer manipulierten Konfigurationsdatei sogar möglich sein, eine Remote-Datenbank in das System einzubinden. Angreifer könnten dann beliebige Inhalte in das CMS einblenden. Für eine erfolgreiche Attacke muss allerdings der Image Manager im Wurzelverzeichnis des Webservers liegen.

Darüber hinaus gibt es in dem Skript connector.php eine Cross-Site-Scripting- (XSS) und eine Cross-Site-Request-Forgery-Lücke (CSRF), mit der Angreifer JavaScript-Code im Browser des Anwenders im Kontext des Mambo-Servers ausführen können. Die Konsequenzen von XSS-Lücken beschreibt der heise-Security-Artikel "Passwortklau für Dummies ... oder warum Cross Site Scripting wirklich ein Problem ist". Über die CSRF-Lücke lässt sich beispielsweise ein Admin-Konto hinzufügen, wenn der ursprüngliche Administrator am Mambo-Server angemeldet ist und in einem anderen Browser-Fenster eine präparierte Webseite ansurft. Eine ähnliche Lücke wurde bereits vor zwei Wochen im Mambo-Fork Joomla beseitigt.

Schließlich führt der Bericht noch eine Schwachstelle auf, mit der sich der Installationspfad herausfinden lässt, was Angreifer für weitere Manipulationsversuche ausnutzen können. Die Fehler wurden in Version 4.6.3 gefunden, vorherige Versionen sind wahrscheinlich ebenfalls verwundbar. Ein offizielles Update gibt es noch nicht. Abhilfe schafft es unter Umständen, den Zugriff auf das Connector-Skript mittels .htacces zu beschränken. Bereits Ende Januar wurden im Mambo-Server vier Sicherheitslücken geschlossen.

Siehe dazu auch:

(dab)