Artikel-Schlagworte: „Xinha“

WYSIWYG-Editor Xinha Version 1.4.2 ist wieder verfügbar.

Sonntag, 17. Februar 2008

Das WYSIWYG-Editor-Modul Xinha in Version 1.4.2 steht wieder zum Download bereit

!! Achtung !!
Der Download und die Verwendung des Moduls erfolgt auf eigene Gefahr.
Wie auf der WebsiteBaker-Entwicklerseite zu lesen ist enthält der Editor bis einschließlich Version 1.4.2 eine kritische Sicherheitslücke die es erlaubt Dateien in das Media-Verzeichnis und dessen Unterverzeichnisse hochzuladen ohne dafür am Backend von der Websitebaker-Installation angemeldet zu sein.
Unter Umständen wäre es dadurch sogar möglich schädlichen PHP-Code oder andere Programme auf den Server/Webspace einzuschläusen.

Websitebaker.org empfiehlt Xinha zu deinstallieren und den FCKEditor zu verwenden.

Xinha sollte momentan keinesfalls im Produktiveinsatz verwendet werden.

Schlagworte:, , , ,
Veröffentlicht in Allgemein | Keine Kommentare »

Sicherheitslücke in WYSIWYG Editor Xinha

Montag, 17. Juli 2006

Mehr oder weniger durch Zufall ist mir aufgefallen, dass der WYSIWYG Editor Xinha offensichtlich eine Sicherheitslücke aufweist.

Ruft man den URL

http://IhreSeite.de/modules/
xinha/xinha/plugins/ImageManager/backend.php?__plugin=ImageManager&__function=manager

direkt auf, so bekommt man alle Bilder und Grafiken zu sehen, die über den Editor erreichbar sind.

Ich persönlich würde dies durchaus als kritische Sicherheitslücke betrachten.
Der von mir verwendete Editor Version 1.2 gewesen.

Nachdem auch ein Ausschalten des Editors im Backend nicht zu einem Abschalten dieses Fehlers geführt hat blieb für mich nur noch auf den Editor zu verzichten. Ich habe das Modul deinstalliert.

Schlagworte:, ,
Veröffentlicht in Allgemein | 1 Kommentar »