SQL-Injection-Lücke in PHP-Nuke
Mit einem manipulierten sid-Parameter lassen sich eigene SQL-Querys an die Datenbank absetzen und so etwa die Passwort-Hashes auslesen.
Eine SQL-Injection-Schwachstelle im Content-Management-System PHP-Nuke soll es ermöglichen, Zugriff auf die zugrunde liegende Datenbank zu erhalten. Laut eines bereits auf Milw0rm erschienenen Exploits liegt der Fehler im Skript modules.php, das den Parameter sid ungefiltert an das Skript modules/Search/index.php weiterreicht. Mit einem manipulierten sid-Parameter lassen sich eigene SQL-Querys an die Datenbank absetzen und so etwa die Passwort-Hashes auslesen. Allerdings setzt dies zusätzlich voraus, dass die Option magic_quotes_gpc deaktiviert ist. Standardmäßig wird sie vom PHP-Nuke-Installer auf on gesetzt.
Der Exploit wurde dem Bericht zufolge mit PHP-Nuke 6.0, 6.6, 7.9 und 8.0 erfolgreich getestet. Andere Versionen sind wahrscheinlich ebenfalls betroffen. Ob die Lücke auch in der aktuellen Version 8.1 zu finden ist, müssen weitere Tests zeigen. Abhilfe schafft es, die Option magic_quotes_gpc = on in der php.ini zu setzen.
Siehe dazu auch:
- PHP Nuke `sid` sql injection exploit for Search module, Exploit auf Milw0rm
(dab)
