Fuel CMS

Die Schwachstelle betrifft das Content-Management-System Fuel CMS und liegt in dessen Verwaltungsbereich. Mehrere Verwaltungsansichten – die Übersichten für Seiten, für Berechtigungen und für die Navigation – nehmen über einen Parameter zur Spaltenangabe Eingaben entgegen, die ungeprüft in eine Datenbankabfrage übernommen werden. Dadurch entsteht eine SQL-Injection: Ein Angreifer kann eigene Datenbankbefehle in die Abfrage einschleusen und so die hinterlegte Datenbank manipulieren. Auf diesem Weg lassen sich gespeicherte Inhalte unbefugt auslesen, etwa Benutzerkonten, Zugangsdaten oder andere vertrauliche Daten, und je nach Konstellation auch verändern. Betroffen sind Betreiber von Websites, die dieses CMS einsetzen. Da der Defekt direkt in den von der Anwendung bereitgestellten Verwaltungsendpunkten sitzt, lässt er sich über manipulierte Anfragen an genau diese Adressen gezielt ansteuern und gefährdet die Integrität und Vertraulichkeit der gesamten hinterlegten Datenbestände.