Schwachstellen in Fehlerdatenbank phpBugTracker

In der Fehlerdatenbank phpBugTracker sind mehrere Schwachstellen enthalten. Angreifer können eigene Kommandos an die Datenbank (SQL-Injection) übergeben, da die Module user.php, bug.php und query.php Benutzereingaben nicht richtig filtern. Des Weiteren ist laut Advisory des Sicherheitsspezialisten JeiAr auch das Einfügen von eigenen Skripten in erstellte Fehlerberichte möglich, die etwa beim Öffnen durch einen Administrator auf entsprechende administrative Funktionen zugreifen. Betroffen ist Version 0.9.1 und eventuell vorhergehende. Auf phpsecure ist ein Patch erschienen, der die Fehler beseitigt

Siehe dazu auch: (dab)

• Security Advisory auf Gulftech