CONTENIDO Forum

Hallo,

es scheint ein XSS-Bug in 4.4.4 vorhanden zu sein.

"idcat" erlaubt das einschleusen von jeglichem HTML-Code sofern man die vorherigen Tags schließt [ Bsp.: " ></a> ] .

Bsp.:
http://seite.de/c/cms/front_content.php ... C/h1%3E%3C!--

Was kann man tun? Ausser update auf die neueste Version? Ist das Problem hier dann überhaupt behoben? Welches Vorgehen schlagt Ihr bei einem Update der 4.4.4 auf die neueste Version vor?

Viele Grüße,
Alex

da gibts bereits einen bug report bei der 4.6.x
eine lösung ist aber noch ausständig...

emergence hat geschrieben:eine lösung ist aber noch ausständig...

OK.

Seht Ihr den Bug als kritisch an? Oder kann man einen Moment damit leben?

Viele Grüße,
Alex

also ich kann ja nur von mir sprechen...
und ich halte es für ein großes problemchen...

viel kritischer finde ich das momentan, dass sehr wenige änderungen für probleme (die bereits gelöst wurden) nicht in den snapshot ergänzt werden...

emergence hat geschrieben:und ich halte es für ein großes problemchen...

Was wäre der Worst-Case, d.h. was kann ein Angreifer auf meinem Server anrichten?

Hast Du einen Workaround?

dynadept hat geschrieben:Was wäre der Worst-Case, d.h. was kann ein Angreifer auf meinem Server anrichten?

ich bin kein hacker... eine sql injection wäre möglich... was der angreifer damit macht... ?? eventuell die db tabellen löschen etc...

dynadept hat geschrieben:Hast Du einen Workaround?

nein, hatte bisher nie die zeit mir was vernünftiges zu überlegen...
abgesehen davon liefere ich schon seit einiger zeit keine workarounds mehr... (mir ist da irgendwie die lust vergangen...)

emergence hat geschrieben:abgesehen davon liefere ich schon seit einiger zeit keine workarounds mehr... (mir ist da irgendwie die lust vergangen...)

oooooohhhhhh, schade!

Halchteranerin hat geschrieben:oooooohhhhhh, schade!

das bitte nicht falsch verstehen... aber es bringt nichts workarounds zu posten, wenn es soviele offene patches gibt...