Löcher in MySQL Eventum

Auf Grund mehrerer Fehler in MySQL Eventum 1.5.5 und älteren Versionen können böswillige Angreifer Cross-Site-Scripting-Attacken und SQL-Injection-Angriffe durchführen. Eventum ist ein Tracking-System, das beispielsweise vom technischen Support einer Firma oder von Entwicklungsteams genutzt wird, um Anfragen mit kurzen Reaktionszeiten zu bearbeiten.

Eines der Probleme betrifft Eingaben in die ‘id’-Parameter in ‘view.php’, in die ‘release’-Parameter in ‘list.php’ und in die ‘F’-Parameter in ‘get_jsrs_data.php’. Die Eingaben werden nicht ausreichend bereinigt, bevor sie das System an den User zurückgibt. Angreifer könnten das ausnutzen, um willkürlich HTML- und Script-Code im Browser eines Benutzers auszuführen.

Bei der zweiten Lücke geht es um Eingaben in die Klassifizierungen Release, Report und Authentication. Die Eingaben dort bereinigt das System ebenfalls nicht sauber vor der Nutzung in einer SQL-Anfrage. Ein Angreifer nimmt diesen Fehler gerne auf, um die Anfragen zu manipulieren, indem er beliebigen SQL-Code einschleust.

Die Sicherheitsfirma Secunia, die die Schwachstellen auf ihrer Webseite veröffentlicht hat, stuft die Probleme als ‘moderat kritisch’ ein, der Entdecker allerdings – James Bercegay vom GulfTech Security Research Team – sieht eine hohe Exploit-Gefahr. Er rät, die neue Version von MySQL Eventum aufzuspielen.