pragmaMx Support Forum pragmaMx Support Forum

XSS Sicherheitslücke

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Andi

  • *****
  • 18.832
  • +4/-0
  • Geschlecht: Männlich
XSS Sicherheitslücke
« am: 03 Februar 2012, 12:36:17 »
Es wurde uns eine XSS Sicherheitslücke in pragmaMx 1.12 gemeldet, die wir leider bestätigen müssen.
http://secunia.com/advisories/47841/

Der Javascript Eventhandler "onerror" wird bei Usereingaben, z.B. in den privaten Nachrichten, nicht korrekt herausgefiltert. Dadurch kann unter Umständen, Javascriptcode auf der Webseite ausgeführt werden.

Da wir sowieso gerade an einem Servicepack für pragmaMx 1.12 arbeiten, welches in den nächsten Tagen erscheinen soll, wird ein Fix dort mit einfliessen.
Ob auch ältere versionen von pragmaMx betroffen sind, haben wir noch nicht geprüft, es ist aber davon auszugehen.


Als einfache Maßnahme gegen diese Sicherheitslücke genügt es, in den Systemeinstellungen bei den Zensuroptionen, das Wort "onerror" als unerwünscht einzutragen.
schön´s Grüssle, Andi