Kritische Lecks in Symphony

DeveloperIT-ProjekteSicherheitSicherheitsmanagementSoftware

Das Web-Publishing-System ist anfällig für SQL Injections und lässt sich über einen Fehler im File Manager Skripte unterschieben.

Die beiden Lecks in Symphony – nicht zu verwechseln mit dem PHP-Framework Symfony – werden von Secunia als highly critical eingestuft. So werden einige Eingaben, die der index.php übergeben und anschließend in SQL-Abfragen genutzt werden, nicht ausreichend geprüft. Zudem gibt es im File Manager keine Beschränkungen, welche Dateitypen hochgeladen werden können, so dass schädliche Skripte auf den Workspace geladen und ausgeführt werden können.

Die Lecks finden sich in der Version 1.7.01 von vor dem 2. August. Mittlerweile hat der Hersteller eine fehlerbereinigte Version 1.7.01 und einen Patch bereitgestellt. (Daniel Dubsky)