halex CourseSEL HTTP GET Parameter IndexController.class.php check_sel sql injection

Eine Sicherheitslücke wurde in halex CourseSEL bis zur Version 1.1.0 festgestellt. Betroffen ist davon die Funktion check_sel der Datei Apps/Index/Controller/IndexController.class.php des Components HTTP GET Parameter Handler. Die Manipulation des Arguments seid führt zu SQL Injection. Es ist möglich, den Angriff remote zu initiieren. Der Exploit wurde öffentlich offengelegt und kann verwendet werden. Der Anbieter wurde frühzeitig über diese Offenlegung informiert, hat aber in keiner Weise reagiert.