anpera.net
https://anpera.homeip.net/phpbb3/

Potentielle gefährliche Sicherheitslücke in DragonSlayer
https://anpera.homeip.net/phpbb3/viewtopic.php?f=2&t=5607
Seite 1 von 1

Autor:  anpera [ So 27 Mär, 2022 17:43 ]
Betreff des Beitrags:  Potentielle gefährliche Sicherheitslücke in DragonSlayer

IonSprite hat mich kontaktiert, um auf eine potentiell gefährliche Sicherheitslücke in den DragonSlayer Editionen von LotGD hinzuweisen:
Zitat:
ich habe eine potentielle und gravierende Sicherheitslücke in den DragonSlayer Editionen v2.5 bis v3.5.1 (inklusive) gefunden. Konkret: Ich bin mir ziemlich sicher dass die Lücke ausnutzbar ist, ich habe aber selbst keinen funktionierenden Exploit.
Dabei handelt es sich um eine Remote Code Execution Lücke. Also ein Angriff der es erlaubt beliebigen PHP Code auf dem Server auszuführen. Dafür muss der Angreifer nicht eingeloggt sein.

Um Server nicht mehr zu zu gefährden als notwendig, verzichten wir auf das Veröffentlichen weiterer Details. Betreiber der DragonSlayer-Edition mögen sich dafür bitte an ionsprite[at]outlook.com wenden.

Weiter weist IonSprite darauf hin, dass alle LoGD-Editionen, inklusive der DragonPrime-Version 1.0.x und 1.1.x zwar nicht von der erwähnten Sicherheitslücke betroffen sind, aber keinen Schutz vor "Cross Site Request Forgery" haben.
Das gilt auch für die auf anpera.net zum Download angebotene Version 0.9.7 ext Ger. Da es für diese Version bereits seit Jahren keine Weiterentwicklung mehr gibt, ich den Download für Interessierte aber online lassen möchte, gilt: Changelog beachten und Download und Betrieb auf eigene Gefahr!

Seite 1 von 1 Alle Zeiten sind UTC + 1 Stunde
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/