Joomla Event Manager angreifbar

Event Manager ist eine Komponente für Joomla, mit der sich im Web-Umfeld Ereignisse darstellen, kategorisieren und bearbeiten lassen. Allerdings hat die Software hat eine Schwachstelle, die sie für Angriffe aus dem Internet anfällig macht. Wie Secunia berichtet, handelt es sich um eine SQL-Lücke, bei der die Software Eingaben, die über den "id"-Parameter gemacht werden, nicht gründlich genug prüft, bevor sie sie als SQL-Anfrage verwendet. So lässt sich schädlicher SQL-Code auf den angegriffenen Web-Server schleusen.

Die Lücke ist in Event Manager 1.5 nachgewiesen, kann aber auch in anderen Versionen auftreten. Abhilfe schafft nur, den Quellcode so zu ändern, dass eine Überprüfung der Parameter stattfindet, die als SQL-Anfragen weitergegeben werden.