De fout kan door aanvallers worden misbruikt om eigen databasecommando's uit te voeren en komt voor in PHP-Nuke versie 7.8 en ouder, zo meldt Securityreason.com.

Volgens de ontdekker is de zoekmodule van het portalsysteem gevoelig voor sql-injectie. Deze kan zodanig worden misbruikt dat de inlognaam en het wachtwoord van de beheerder van de Nuke-site kunnen worden achterhaald.

SecurityReason.com bestempelt het risico van het ontdekte lek als kritiek, mede omdat deze relatief eenvoudig te misbruiken is. De door de onderzoekers gepubliceerde exploit maakt het er in ieder geval niet moeilijker op.

Dit is overigens niet het eerste lek dat wordt ontdekt. Vorige maand nog werd een soortgelijk lek ontdekt in de download- en accountbeheermodule.

PHP-Nuke is een veelgebruikt systeem om website te onderhouden. Het open-sourcepakket voorziet in een uitgebreid beheersysteem om onder meer nieuws te publiceren en polls te plaatsen en heeft ondersteuning voor ruim twintig talen