Redaxo Sicherheits-Update

HackerWerkstatt entdeckt Sicherheitslücke – Update sollte sofort erfolgen!

Das Team der HackerWerkstatt konnte Anfang des Monats Juli 2018 den Entwicklern des CMS REDAXO eine kritische Sicherheitslücke melden. Das Entwicklerteam, allen voran Gregor Harlan, hat die Sicherheitslücke innerhalb von wenigen Tagen geschlossen und den Nutzern des CMS einen Patch zur Verfügung gestellt. Die Lücke klaffte im Redaxo Media Manager bis zur Version 2.5.5. Mit dem Update auf die Version 5.6.2 des Redaxo Cores oder eben mit der manuellen Aktualisierung des Media-Managers auf die Version 2.5.6 sollte die Lücke geschlossen sein.

Das Team der HackerWerkstatt kann das schnelle Agieren nur loben und verzichtet bis zum 15.10.2018 auf eine Veröffentlichung der Details zu dieser Lücke. Dies ist eine Maßnahme um allen Administratoren von Redaxo-Projekten ausreichend Zeit zu geben, diese abzusichern.

Bisher wurde kein Exploit entdeckt, ein schnelles Agieren ist aber geboten.

Sollten Sie Hilfe bei der Umsetzung, dem Update oder den Funktionen des Redaxo CMS benötigen, so steht Ihnen das Team der HackerWerkstatt selbstverständlich zur Seite.

Ablauf

# 05.07.2018 Meldung der Sicherheitslücke
# 11.07.2018 Fix durch das Redaxo Team wurde bereitgestellt

Original-Nachricht

https://redaxo.org/cms/news/update-fuer-sicherheitsluecke-im-media-manager/

Ältere von uns im Redaxo / in Redaxo Addons entdeckte und mittlerweile geschlossene Sicherheitslücken:

27.03.2018 – Redaxo CMS Addon MyEvents 2.2.1 – SQL Injection [Exploit]
13.06.2018 – Redaxo CMS Mediapool Addon < 5.5.1 – Arbitrary File Upload [Exploit]