Zahlreiche kritische Lücken in Hostingplattform Kloxo

Für die Webhosting-Plattform Kloxo (ehemals Lxadmin) ist eine Beschreibung von 24 Sicherheitslücken und wie man sie ausnutzt erschienen. Die Lücken ermöglichen unter anderem den Zugriff auf jede beliebige Datei auf dem System, SQL-Injection, Symlink-Attacken und vieles mehr. Zudem sollen Kloxo-Installationen Default-Passwörter in der Datenbank enthalten. Nach Angaben des Internet Storm Centers wurden bereits erste Seiten angegriffen.

Die Fehler wurden laut Bericht in der Version 5.75 entdeckt. Aktuell ist allerdings die Version 6.0. Ob diese ebenfalls betroffen ist, ist nicht bekannt. Die Entwickler sind über die Probleme informiert.

Siehe dazu auch:

• Kloxo 5.75 (24 Issues) Multiple Remote Vulnerabilities, Bericht auf Milw0rm

(dab)