XSS Sicherheitslücke

Begonnen von Andi, 03 Februar 2012, 12:36:17

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 2 Gäste betrachten dieses Thema.

Andi

Es wurde uns eine XSS Sicherheitslücke in pragmaMx 1.12 gemeldet, die wir leider bestätigen müssen.
http://secunia.com/advisories/47841/

Der Javascript Eventhandler "onerror" wird bei Usereingaben, z.B. in den privaten Nachrichten, nicht korrekt herausgefiltert. Dadurch kann unter Umständen, Javascriptcode auf der Webseite ausgeführt werden.

Da wir sowieso gerade an einem Servicepack für pragmaMx 1.12 arbeiten, welches in den nächsten Tagen erscheinen soll, wird ein Fix dort mit einfliessen.
Ob auch ältere versionen von pragmaMx betroffen sind, haben wir noch nicht geprüft, es ist aber davon auszugehen.


Als einfache Maßnahme gegen diese Sicherheitslücke genügt es, in den Systemeinstellungen bei den Zensuroptionen, das Wort "onerror" als unerwünscht einzutragen.
schön´s Grüssle, Andi