Update schließt gefährliche Sicherheitslücke in Serendipity
Ein schwerwiegendes Sicherheitsproblem in der Xinha-Komponente des Weblogs könnte von Angreifern zur Codeausführung ausgenutzt werden.
Das Serendipity-Projekt hat das Security-Release 1.5.3 veröffentlicht. Damit reagieren die Entwickler auf eine Sicherheitslücke, die in der WYSIWYG-Bibliothek Xinha gefunden wurde. Diese kommt unter anderem in der Blogsoftware Serendipity zum Einsatz.
Durch die Lücke ist es Angreifern möglich, ferngesteuert Code auf dem Webserver auszuführen. Das Problem betrifft einige Erweiterungen von Xinha, die einen dynamischen Konfigurations-Loader nutzen. Darüber ließe sich leicht eine Datei mit beliebigem PHP-Code hochladen. Angreifer können selbst dann Code ausführen, wenn sie nicht im Blog eingeloggt sind. Das Serendipity-Projekt rät Anwendern zu einem schnellen Update ihrer Blog-Installation. (jp)
Info: Serendipity
