Das Forensystem MyBulletinBoard enthält mehrere kritische Programmierfehler, von denen sich einer für beliebige Datenbankmanipulationen eignet. Voraussetzung dafür ist anscheinend, dass ein Angreifer Postings im Forum absetzen kann, was je nach Konfiguration auch für anonyme Gast-Benutzer möglich ist. Der Entdecker der Lücken, Tobias Klein, will zu diesem Zeitpunkt jedoch keine näheren Details nennen, sondern diese erst am 23. Dezember nachreichen, um den Anwendern von MyBB genügend Zeit für ein Upgrade zu verschaffen. Von dem Problem sind nach seinen Angaben alle Versionen einschließlich der letzten Preview MyBB 1.0 PR2 Rev.686 betroffen. Die Entwickler haben bereits die fehlerbereinigte Final-Version MyBB 1.0 veröffentlicht, in der auch andere Bugs behoben wurden.
Siehe dazu auch:
* Multiple critical vulnerabilities in MyBB, Advisory von Tobias Klein
Quelle und Links :
http://www.heise.de/security/news/meldung/67309
