(vr) – Über eine Sicherheitslücke in PHP Image Gallery können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer Benutzer einspielen.
Laut einer Meldung von Secunia tritt die Sicherheitslücke in der aktuellen Version 1.x von PHP Image Gallery auf. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „action“. Durch gezielte Manipulation dieses Parameters können Angreifer beliebigen HTML- und Scriptcode einspeisen, der anschließend in der Browsersitzung anderer Benutzer ausgeführt wird. Ein Patch liegt bislang noch nicht vor.
Quelle: TEC Channel
