SQL-Injection in PHP Paid4Mail Script

PHP Paid4Mail Script hat zwei Sicherheitsprobleme, die dazu führen können, dass Angreifer eine SQL-Incection ausführen und Daten manipulieren oder sich Zugang zum System verschaffen. Wie Secunia.com meldet, liegen die Fehler darin, dass das Skript die Eingaben der Benutzer nicht hinreichend überprüft. Dabei können Eingaben im "page"-Parameter in home.php dazu verwendet werden, von außen fremden Code einzuschleusen. Die SQL-Lücke befindet sich im "ID"-Parameter in der paidbanner.php. Durch diese Lücke können Angreifer unerwünschte SQL-Kommandos ins System bringen. Aktualisierungen, die die Lücken schließen, sind bislang nicht bekannt.