Über eine Sicherheitslücke im Content Management System „RunCMS“ können Angreifer SQL-Befehle einspeisen und damit die Datenbank auslesen und verändern.
Nach einer Meldung von Secunia tritt die Sicherheitslücke in Version 3.02 auf. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben, die an den Parameter „cid“ übergeben werden. Durch gezielte Manipulation dieser Eingaben können Angreifer beliebige SQL-Befehle in die Datenbank des betroffenen Systems einspeisen. Ein Patch ist bislang nicht bekannt.