Hallo miteinander,
mich hat die Tage ein White-hat-hacker angeschrieben, welcher eine XSS (CWE-79) Schwachstelle in einem Kontaktformular einer meiner Contenido-Kundenwebseiten gefunden hat.
Das Kontaktformular ist via PIFA-Form aufgesetzt, deswegen gehe ich davon aus das dies ein generelles Problem des PIFA-Forms in Contenido ist, kein spezielles Problem auf meiner Kundenwebseite.
Könnt Ihr (4fb) Euch das mal näher ansehen? Den Kontakt zu dem Hacker kann ich gerne herstellen (PN/ E-Mail), falls noch Infos fehlen...
Wäre super wenn dafür ein Fix unterm Weihnachtsbaum läge (evtl. im Bundle mit der 4.9.13?).
-David
BUG? 4.9.12 XSS (CWE-79) in PIFA-Form
BUG? 4.9.12 XSS (CWE-79) in PIFA-Form
lesslauer.de | Webdesign Allgäu-Oberschwaben | kontakt@lesslauer.de
-
- Beiträge: 4256
- Registriert: Do 30. Jun 2005, 22:56
- Wohnort: Eltmann, Unterfranken, Bayern
- Kontaktdaten:
Re: BUG? 4.9.12 XSS (CWE-79) in PIFA-Form
Servus David,
das würde mich interessieren. Ich überarbeite derzeit den Pifa in Richtung 4.9.13 und daher wäre dieser Hack, bzw. wie der Ablauf ist, wichtig. Die Eingaben über das Formular werden grundsätzlich schon gefiltert, jedoch ist dieser Filter rudimentär. Zumindest mit meinen XSS-Versuchen am Formular konnte ich kein CWE-79 provozieren, was aber nichts heißen muss. Solltest Du nähere Infos haben so würde ich mich freuen, wenn ich diese per PN erhalten könnte.
Gruß aus Franken
Ortwin
das würde mich interessieren. Ich überarbeite derzeit den Pifa in Richtung 4.9.13 und daher wäre dieser Hack, bzw. wie der Ablauf ist, wichtig. Die Eingaben über das Formular werden grundsätzlich schon gefiltert, jedoch ist dieser Filter rudimentär. Zumindest mit meinen XSS-Versuchen am Formular konnte ich kein CWE-79 provozieren, was aber nichts heißen muss. Solltest Du nähere Infos haben so würde ich mich freuen, wenn ich diese per PN erhalten könnte.
Gruß aus Franken
Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
Re: BUG? 4.9.12 XSS (CWE-79) in PIFA-Form
Ich schick Dir ne Mail....
lesslauer.de | Webdesign Allgäu-Oberschwaben | kontakt@lesslauer.de
-
- Beiträge: 4256
- Registriert: Do 30. Jun 2005, 22:56
- Wohnort: Eltmann, Unterfranken, Bayern
- Kontaktdaten:
Re: BUG? 4.9.12 XSS (CWE-79) in PIFA-Form
Servus,
schau mir das gerade an, derzeitiger Stand, auf der von David benannten Seite ist der Fehler nachvollziehbar, bei mehreren eigenen Installationen nicht. Ermittlungen gehen weiter...
Gruß aus Franken
Ortwin
schau mir das gerade an, derzeitiger Stand, auf der von David benannten Seite ist der Fehler nachvollziehbar, bei mehreren eigenen Installationen nicht. Ermittlungen gehen weiter...
Gruß aus Franken
Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog