Auf Grund mehrerer Fehler in MySQL Eventum 1.5.5 und älteren Versionen können böswillige Angreifer Cross-Site-Scripting-Attacken und SQL-Injection-Angriffe durchführen. Eventum ist ein Tracking-System, das beispielsweise vom technischen Support einer Firma oder von Entwicklungsteams genutzt wird, um Anfragen mit kurzen Reaktionszeiten zu bearbeiten.
Eines der Probleme betrifft Eingaben in die ‘id’-Parameter in ‘view.php’, in die ‘release’-Parameter in ‘list.php’ und in die ‘F’-Parameter in ‘get_jsrs_data.php’. Die Eingaben werden nicht ausreichend bereinigt, bevor sie das System an den User zurückgibt. Angreifer könnten das ausnutzen, um willkürlich HTML- und Script-Code im Browser eines Benutzers auszuführen.
Bei der zweiten Lücke geht es um Eingaben in die Klassifizierungen Release, Report und Authentication. Die Eingaben dort bereinigt das System ebenfalls nicht sauber vor der Nutzung in einer SQL-Anfrage. Ein Angreifer nimmt diesen Fehler gerne auf, um die Anfragen zu manipulieren, indem er beliebigen SQL-Code einschleust.
Die Sicherheitsfirma Secunia, die die Schwachstellen auf ihrer Webseite veröffentlicht hat, stuft die Probleme als ‘moderat kritisch’ ein, der Entdecker allerdings – James Bercegay vom GulfTech Security Research Team – sieht eine hohe Exploit-Gefahr. Er rät, die neue Version von MySQL Eventum aufzuspielen.
Cloud-Trends 2025: Diversifizierung des Cloud-Marktes, Edge Cloud Transformation und Plattform-Compliance.
ERP-Security-Trends 2025: Verzögerungen bei der Cloud-Migration führen zu Sicherheitsnotfällen.
Der künstlichen Intelligenz würde man eigentlich nicht zutrauen, auch vom Menschen dominierte Bereiche wie die…
KI-Trends 2025: Verschärfter Wettbewerb, Agentic AI und weltweit wachsender regulatorischer Druck.
Wie eine professionelle CRM-Beratung Unternehmen hilft, Prozesse zu optimieren, Kundenbindung zu stärken und Wettbewerbsvorteile zu…
KI-Trends 2025: KI entwickelt sich vom Werkzeug zum Assistenten und Humanoide mit KI-Funktionen.