VEGAS Pro 21

Die Formularkomponente CKForms für Joomla 1.5 sollte momentan auf Grund erheblicher Sicherheitsmängel nicht verwendet werden.

Hoch kritische Lücken in CKForms!

CKForms ist eine für Joomla 1.5 erhältliche Komponente zur Erzeugung von Formularen ganz ohne Kenntnisse im Bereich der Web-Entwicklung. Eigentlich eine schöne Sache, wenn da nicht die extremen Sicherheitslücken wären.

Daten können manipuliert werden. Sensible Daten könnten ausgespäht werden. Ein Systemzugriff von außerhalb ist möglich. Bösartige Angreifer sind in der Lage, über SQL-Injections die Datenbank zu kompromittieren. Damit kann also ein kompletter Web-Auftritt lahmgelegt werden.

In der Datei models/ckforms.php arbeitet die Methode "CkformsModelCkforms::saveData()". Diese Methode erlaubt das Hochladen von Dateien mit beliebigen Endungen und Inhalten in einen Ordner im Rootverzeichnis des Webservers. So kann also leicht eine PHP-Datei mit schädlichen Auswirkungen eingeschleusst werden. Verhindern kann man das durch eine Konfiguration des Feldes "fileupload".

Dies ist leider nur eine der Möglichkeiten für Angreifer. Schädliche Eingaben sind über den articleid-Parameter und über den sortd-Parameter möglich.

Leider wird vom Entwickler bisher keine Lösung zu diesem extremen Problem angeboten. Wenn man sich etwas auskennt, könnte man selbst den Quellcode entsprechend verändern. Das wird wohl in den seltensten Fällen so sein, sonst könnte man sich ein sicheres Formular auch gleich selbst erstellen.

Eine Hilfe könnte auch die Änderung des Pfades für hochzuladende Dateien sein. Der Pfad sollte unbedingt auf außerhalb des Rootverzeichnisses verweisen.

Die Sicherheitslücke betrifft die aktuelle Version 1.3.4 und alle vorhergehenden Versionen sind wohl ebenfalls unsicher. Viele Seiten von Anwendern der Version 1.3.3 wurden bereits gehackt.

Es kann also keinesfalls angeraten werden, diese Komponente irgendwie wieder sicher kriegen zu wollen und selbst im Code herumzubasteln, auch wenn das vielleicht möglich wäre. So leid es mir für den Entwickler tut, aber am besten "Finger weg von CKForms". Die Hacker werden sich sicher dankbar auf jede Seite stürzen, welche diese Extension verwendet.

Es gibt glücklicherweise auch Alternativen. Aber Formulare sind immer eine sensible Sache und Aufpassen ist hier immer angesagt. So mancher auf Joomla spezialisierter Webspace-Anbieter verbietet gar seinen Kunden die weitere Verwendung dieser Komponente. Die Sache scheint also wirklich ernst zu sein.

Speichern
Cookies Einstellungen
Wir verwenden Cookies, um Ihnen das beste Erlebnis auf unserer Webseite zu ermöglichen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Essential
Für grundlegende Funktionalität der Website notwendig
Website
Akzeptieren
Marketing
Eine Reihe von Techniken, die die Handelsstrategie und insbesondere die Marktstudie zum Gegenstand haben.
Diverse
Akzeptieren
Ablehnen
Functional
Tools, die Ihnen beim Navigieren auf der Website mehr Funktionen bieten, dies kann soziales Teilen einschließen.
Osano
Akzeptieren
Ablehnen
Analytics
Werkzeuge zur Analyse der Daten, um die Wirksamkeit einer Webseite zu messen und zu verstehen, wie sie funktioniert.
Google Analytics
Akzeptieren
Ablehnen