Ich habe mal wieder eine Lücke in einem CMS gefunden. Das Login-Script nimmt für Benutzername und Passwort ' or 1=1 -- an und schon ist man der Superadmin des Systems.

Meine E-Mail an den Betreiber wurde schnell beantwortet:

Wir arbeiten bereits an einer neuen Homepage, mit der wir spätestens Anfang
März online gehen möchten, deswegen möchten wir auch nicht mehr in das CMS
der alten Website investieren.

Investieren müßte man nur einen .htaccess-Schutz (de.wikipedia.org) im admin-Verzeichnis, aber wenn das schon zu viel ist…

Dabei ist noch erwähnenswert, das ein ganzes Filialnetz (europaweit) betroffen ist, denn auf deren Inhalte hat man nun auch vollen Zugriff.