SQL-Injection-Lücke in Joomla-Komponente

Eine Sicherheitslücke in der kommerziellen Joomla-Komponente CB Resume Builder, die die Gruppen-Funktionalitäten erweitert, macht den Webserver anfällig für SQL-Injection-Angriffe. Das Problem liegt darin, dass das Modul Eingaben, die über den "goup_id"-Parameter an "index.php" übergeben werden, nicht hinreichend prüft, bevor es als SQL-Anfrage genutzt wird. Dadurch lässt sich unerwünschter SQL-Code ins System einschleusen.

Ein Update von Seiten des Herstellers, das das Problem löst, gibt es im Moment nicht. Die Sicherheitsexperten von Secunia raten, in der Zwischenzeit den Sourcecode von Hand so anzupassen, dass die Engaben gründlich genug geprüft werden.