Anders als auf der Entwicklerseite behauptet, ist Website Baker 2.7 offensichtlich nicht betroffen.

Dieses habe ich zum Anlass genommen einmal genauer hin zu sehen.

Offensichtlich ist irgendwann zwischen
Website Baker Version 2.7.0 Revision 519

http://project.websitebaker2.org/browser/tags/2.7.0/wb/modules/backup/backup-sql.php

und Version 2.8.0 Revision 1072

http://project.websitebaker2.org/browser/tags/2.8.0/wb/modules/backup/backup-sql.php

in der Datei /modules/backup/backup-sql.php
dieses kleine Stückchen Code verloren gegangen:

// Create new admin object
require(WB_PATH.'/framework/class.admin.php');
$admin = new admin('Settings', 'settings_advanced', false);

Baut man es unterhalb von
// Include config
require_once('../../config.php');

wieder ein (ca. Zeile 31), sollte das Problem behoben sein.

Jeder der selber prüfen möchte ob seine Website Baker Installation betroffen ist, kann dies ganz einfach tun.
Aus dem im Browser erzeugten Quelltext der Admin-Tools Bakcup Seite suchst Du dir das Formular:


<form name="prompt" method="post" action="http://DeineDomain_und_Pfad_zu_WB.de/modules/backup/backup-sql.php">
   <input type="radio" checked="checked" name="tables" value="ALL">Sichern Sie alle Tabellen der Datenbank<br>
   <input type="radio" name="tables" value="WB">Sichern Sie nur die von WebsiteBaker generierten Tabellen der Datenbank<br><br>
   <input type="submit" name="backup" value="Erstelle Datenbanksicherung" onClick="javascript: if(!confirm('Die Datenbanksicherung kann je nach Gr&ouml;&szlig;e der Datenbank einige Zeit dauern.')) { return false; }" />
</form>


Dieses packst Du in eine HTML Datei auf Deinem Rechner und, z.B. so:

<html>
<head>
   <title>WebSiteBaker 2.8.1 Datenbank Backup</title>
</head>

Bitte stelle sicher, dass Du nicht mehr als Administrator angemeldet bis auf Deiner Website Baker Seite.

Jetzt kannst Du die HTML-Datei öffnen.

Wenn Du in der Lage sein solltest Deine Datenbank zu sichern, dann ist Dein System auch betroffen.

Der Fehler liegt in der Funktion print_error(), die Bestandteil der Klasse wb ist und sich in der Datei class.wb.php befindet.

Um diese Sicherheitslücke zu schleißen wird dringend ein Update auf Website Baker 2.8.1 empfohlen!

Ruft man den URL

http://IhreSeite.de/modules/
xinha/xinha/plugins/ImageManager/backend.php?__plugin=ImageManager&__function=manager

direkt auf, so bekommt man alle Bilder und Grafiken zu sehen, die über den Editor erreichbar sind.

Ich persönlich würde dies durchaus als kritische Sicherheitslücke betrachten.
Der von mir verwendete Editor Version 1.2 gewesen.

Nachdem auch ein Ausschalten des Editors im Backend nicht zu einem Abschalten dieses Fehlers geführt hat blieb für mich nur noch auf den Editor zu verzichten. Ich habe das Modul deinstalliert.