pragmaMx Support Forum

News & Wichtiges => Hinweise zu Sicherheitslöchern & Risiken => Thema gestartet von: Andi am 03 Februar 2012, 12:36:17

Titel: XSS Sicherheitslücke
Beitrag von: Andi am 03 Februar 2012, 12:36:17
Es wurde uns eine XSS Sicherheitslücke in pragmaMx 1.12 gemeldet, die wir leider bestätigen müssen.
http://secunia.com/advisories/47841/

Der Javascript Eventhandler "onerror" wird bei Usereingaben, z.B. in den privaten Nachrichten, nicht korrekt herausgefiltert. Dadurch kann unter Umständen, Javascriptcode auf der Webseite ausgeführt werden.

Da wir sowieso gerade an einem Servicepack für pragmaMx 1.12 arbeiten, welches in den nächsten Tagen erscheinen soll, wird ein Fix dort mit einfliessen.
Ob auch ältere versionen von pragmaMx betroffen sind, haben wir noch nicht geprüft, es ist aber davon auszugehen.


Als einfache Maßnahme gegen diese Sicherheitslücke genügt es, in den Systemeinstellungen bei den Zensuroptionen, das Wort "onerror" als unerwünscht einzutragen.