Joomla Komponente KBase ist unsicher!

Bei der Nutzung von KBase kann die Datenbank eines Joomla-Anwenders mit bösartigem SQL-Code infiltriert werden.

Sicherheitslücke in KBase

Bei KBase handelt es sich um ein Knowledgesystem für Joomla 1.5.x. Dieses Wissensgrundlagensystem wie man es auch nennen könnte, erlaubt es, Artikel in Sektionen und Kategorien zu unterteilen.

Ebenso gibt es ein Benutzerzugriffskontrollsystem. Ein integriertes Such-Plugin erleichtert das Auffinden von Artikeln, wobei das Plugin die Joomlaeigene Suchfunktion verwendet.

Mehr zu KBase und den Download gibt es unter (Link funktioniert nicht mehr und wurde entfernt)

Die Komponente ist kostenlos und sicher interessant. Allerdings muß man derzeit von der Verwendung von KBase dringend abraten. Wie die Sicherheitsexperten von Secunia berichteten, gibt es eine schwere Sicherheitslücke in Version 1.2 von KBase.

Einem Angreifer ist es leider möglich, SQL-Attacken auf die Datenbank des Joomla-Anwenders auszuführen.

Eingaben durchlaufen unter bestimmten Voraussetzungen den id-Parameter der index.php im Joomla Root-Verzeichnis wenn die Komponente KBase aktiv ist. Diese Eingaben werden nicht richtig geprüft und dennoch in die Datenbank übernommen. Hier kann also richtiger Blödsinn in die Datenbank eingeschleusst werden und möglicherweise das ganze System lahmgelegt werden.

Leider ist von einem Patch bzw. einer Lösung bislang noch nichts zu hören. Also bitte diese Komponente momentan auf keinen Fall benutzen, bis es eine neue Version nach KBase 1.2 gibt.