Ein schwerwiegendes Sicherheitsproblem in der Xinha-Komponente des Weblogs könnte von Angreifern zur Codeausführung ausgenutzt werden.
Das Serendipity-Projekt hat das Security-Release 1.5.3 veröffentlicht. Damit reagieren die Entwickler auf eine Sicherheitslücke, die in der WYSIWYG-Bibliothek Xinha gefunden wurde. Diese kommt unter anderem in der Blogsoftware Serendipity zum Einsatz.
Durch die Lücke ist es Angreifern möglich, ferngesteuert Code auf dem Webserver auszuführen. Das Problem betrifft einige Erweiterungen von Xinha, die einen dynamischen Konfigurations-Loader nutzen. Darüber ließe sich leicht eine Datei mit beliebigem PHP-Code hochladen. Angreifer können selbst dann Code ausführen, wenn sie nicht im Blog eingeloggt sind. Das Serendipity-Projekt rät Anwendern zu einem schnellen Update ihrer Blog-Installation. (jp)
Die Fachzeitschrift web-developer liefert jeden Monat praktisches Wissen für professionelle Entwickler von Web-Anwendungen und Rich Internet Applications (RIA). Weitere Schwerpunkte sind Datenbankapplikationen, PHP und JavaScript. web-developer liefert Wissen für Entwickler von Web-Applikationen, für Content und Online-Manager, Agenturen und Webmaster.
