Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 27

Thema: Sicherheitslücke: VMS-Addon Nickpage V. 1.2 by Ufisch

  1. #1
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206

    Ausrufezeichen Sicherheitslücke: VMS-Addon Nickpage V. 1.2 by Ufisch

    In dem Addon "VMS-Addon Nickpage V. 1.2 by Ufisch" wurde eine erhebliche Sicherheitslücke gefunden.

    Mittels SQL Injection ist es möglich Userdaten inklusive Passwort Hash auszulesen. Leider habe ich den Code vom Addon selbst nicht bzw. nur den Code einer Version in der diese Fehler schon behoben ist weshalb ich an dieser Stelle kein Bugfix anbieten kann.

    Gerne prüfe ich eure Webseite darauf ob die Lücke vorhanden ist dazu bitte einfach die URL posten.

    An dieser Stelle möchte ich darauf hinweisen das diese Sicherheitslücke nicht durch das VMS selbst sondern durch eine Erweiterung eines dritten entstanden ist.

    Informationen wie man diese Lücke ausnutzt wird es von mir nicht geben, und ich möchte auch keine Anleitungen in diesem Thread lesen .

    Vielen Dank an Newkaiza der mich über diese Lücke informiert hat.

    Wir empfehlen dringend dieses Addon bis zur Einspielung eines Bugfixes zu deaktivieren.
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  2. #2
    Erfahrener Benutzer Avatar von didith1207
    Registriert seit
    17.09.2006
    Beiträge
    1.580
    Gerne prüfe ich eure Webseite darauf ob die Lücke vorhanden ist dazu bitte einfach die URL posten.
    Bitte eimal prüfen : http://www.happywins.com

    Danke!

  3. #3
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Hast du einen Testacci? Möchte mich nicht anmelden und bei dir geht die NP leider nicht als Gast.

    Daten gerne per PM
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  4. #4
    Erfahrener Benutzer Avatar von riwasch
    Registriert seit
    21.01.2007
    Beiträge
    441
    bitte prüfen:
    http://www.rilos.de - DANKE!
    Habe leider keinen Testacc - bei PN an mich kann ich dir aber gerne meine Logindaten geben, somit musst du dich bei mir nicht anmelden !

  5. #5
    Bitte meine beiden Seiten auch mal prüfen.

    http://www.anteilshoelle.de und http://www.klammgeilanteile.de

  6. #6
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Auch hier bitte Testacci
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  7. #7
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Mir ist grad aufgefallen das man mit dieser Lücke auch den Adminlogin auslesen kann
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  8. #8
    Zitat Zitat von cdp Beitrag anzeigen
    Auch hier bitte Testacci
    hast PN mit Daten

  9. #9
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Bei denen die sich bislang gemeldet haben ist der Bug so nicht vorhanden. Vermutlich gibt es schon eine neuere Version denn in die wo der Bug auftritt kommt man auch als Gast auf die Nickpages.

    Dennoch sollte man darauf achten das Variablen nicht ungeschützt übergeben werden:
    - Nickname mit mysql_real_escape_string($_GET['nick'])
    - Userid mit (INT)$_GET['uid']
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  10. #10
    Erfahrener Benutzer Avatar von riwasch
    Registriert seit
    21.01.2007
    Beiträge
    441
    Zitat Zitat von cdp Beitrag anzeigen
    Bei denen die sich bislang gemeldet haben ist der Bug so nicht vorhanden. Vermutlich gibt es schon eine neuere Version denn in die wo der Bug auftritt kommt man auch als Gast auf die Nickpages.

    Dennoch sollte man darauf achten das Variablen nicht ungeschützt übergeben werden:
    - Nickname mit mysql_real_escape_string($_GET['nick'])
    - Userid mit (INT)$_GET['uid']
    d.h. bei mir iss alles OK!?

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. Nickpage Addon (ufisch) Problem
    Von RedNeo im Forum Support zu Addons & Erweiterungen
    Antworten: 3
    Letzter Beitrag: 12.02.2015, 18:16
  2. (S) Nickpage Addon VMS 1.2.4
    Von Neuroblastom im Forum Scripte
    Antworten: 0
    Letzter Beitrag: 15.04.2014, 09:00
  3. (S) Suche Addon Nickpage
    Von dieter-kh im Forum Weiterentwicklung Basisscript
    Antworten: 1
    Letzter Beitrag: 13.06.2009, 16:44
  4. Nickpage addon fehlermeldung (VMS1.2)
    Von kiko im Forum Support zu Addons & Erweiterungen
    Antworten: 25
    Letzter Beitrag: 22.02.2009, 23:39
  5. Sicherheitslücke Addon RadioTuner
    Von Gremlin im Forum Ankündigungen (erledigt)
    Antworten: 3
    Letzter Beitrag: 22.05.2008, 13:24

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •