In dem Addon "VMS-Addon Nickpage V. 1.2 by Ufisch" wurde eine erhebliche Sicherheitslücke gefunden.
Mittels SQL Injection ist es möglich Userdaten inklusive Passwort Hash auszulesen. Leider habe ich den Code vom Addon selbst nicht bzw. nur den Code einer Version in der diese Fehler schon behoben ist weshalb ich an dieser Stelle kein Bugfix anbieten kann.
Gerne prüfe ich eure Webseite darauf ob die Lücke vorhanden ist dazu bitte einfach die URL posten.
An dieser Stelle möchte ich darauf hinweisen das diese Sicherheitslücke nicht durch das VMS selbst sondern durch eine Erweiterung eines dritten entstanden ist.
Informationen wie man diese Lücke ausnutzt wird es von mir nicht geben, und ich möchte auch keine Anleitungen in diesem Thread lesen .
Vielen Dank an Newkaiza der mich über diese Lücke informiert hat.
Wir empfehlen dringend dieses Addon bis zur Einspielung eines Bugfixes zu deaktivieren.