Schweres Leck im CMS Contenido

SicherheitSicherheitsmanagement

Das CMS Contenido lässt sich HTML- und Skriptcode unterschieben, weil an meheren Stellen Eingaben nicht ausreichend überprüft werden.

Die Schwachstellen, die von Secuina als Highly Critical eingestuft werden, sind für Contenido 4.8.4 bestätigt, frühere Versionen können allerdings ebenfalls betroffen sein. Zu den nicht korrekt überprüften Parametern zählen etwa contenido und username in der contenido/index.php sowie contenido_path in der contenido/backend_search.php. Voraussetzung, um diese Fehler auszunutzen, ist allerdings, dass allow_url_fopen und allow_url_include aktiviert sind.

Ein Update für das CMS gibt es noch nicht. Bei Secunia empfiehlt man, den Code selbst anzupassen – schließlich ist Contenido Open Source (GPL-Lizenz).(Daniel Dubsky)