Schweres Leck im CMS Contenido

Die Schwachstellen, die von Secuina als Highly Critical eingestuft werden, sind für Contenido 4.8.4 bestätigt, frühere Versionen können allerdings ebenfalls betroffen sein. Zu den nicht korrekt überprüften Parametern zählen etwa contenido und username in der contenido/index.php sowie contenido_path in der contenido/backend_search.php. Voraussetzung, um diese Fehler auszunutzen, ist allerdings, dass allow_url_fopen und allow_url_include aktiviert sind.

Ein Update für das CMS gibt es noch nicht. Bei Secunia empfiehlt man, den Code selbst anzupassen – schließlich ist Contenido Open Source (GPL-Lizenz).(Daniel Dubsky)