BUG? 4.9.12 XSS (CWE-79) in PIFA-Form

Fragen zur Installation von CONTENIDO 4.9? Probleme bei der Konfiguration? Hinweise oder Fragen zur Entwicklung des Systemes oder zur Sicherheit?
Antworten
Lesslauer
Beiträge: 30
Registriert: Fr 8. Apr 2011, 09:57
Wohnort: Wangen im Allgäu
Kontaktdaten:
Kontaktdaten von Lesslauer

BUG? 4.9.12 XSS (CWE-79) in PIFA-Form

Beitrag von Lesslauer » Do 7. Dez 2017, 15:35

Hallo miteinander,
mich hat die Tage ein White-hat-hacker angeschrieben, welcher eine XSS (CWE-79) Schwachstelle in einem Kontaktformular einer meiner Contenido-Kundenwebseiten gefunden hat.
Das Kontaktformular ist via PIFA-Form aufgesetzt, deswegen gehe ich davon aus das dies ein generelles Problem des PIFA-Forms in Contenido ist, kein spezielles Problem auf meiner Kundenwebseite.
Könnt Ihr (4fb) Euch das mal näher ansehen? Den Kontakt zu dem Hacker kann ich gerne herstellen (PN/ E-Mail), falls noch Infos fehlen...
Wäre super wenn dafür ein Fix unterm Weihnachtsbaum läge (evtl. im Bundle mit der 4.9.13?). :P
-David
lesslauer.de | Webdesign Allgäu-Oberschwaben | kontakt@lesslauer.de
Nach oben
Oldperl
Beiträge: 4250
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:
Kontaktdaten von Oldperl

Re: BUG? 4.9.12 XSS (CWE-79) in PIFA-Form

Beitrag von Oldperl » Do 7. Dez 2017, 16:15

Servus David,

das würde mich interessieren. Ich überarbeite derzeit den Pifa in Richtung 4.9.13 und daher wäre dieser Hack, bzw. wie der Ablauf ist, wichtig. Die Eingaben über das Formular werden grundsätzlich schon gefiltert, jedoch ist dieser Filter rudimentär. Zumindest mit meinen XSS-Versuchen am Formular konnte ich kein CWE-79 provozieren, was aber nichts heißen muss. Solltest Du nähere Infos haben so würde ich mich freuen, wenn ich diese per PN erhalten könnte.

Gruß aus Franken

Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
Nach oben
Lesslauer
Beiträge: 30
Registriert: Fr 8. Apr 2011, 09:57
Wohnort: Wangen im Allgäu
Kontaktdaten:
Kontaktdaten von Lesslauer

Re: BUG? 4.9.12 XSS (CWE-79) in PIFA-Form

Beitrag von Lesslauer » Do 7. Dez 2017, 20:11

Ich schick Dir ne Mail.... :D
lesslauer.de | Webdesign Allgäu-Oberschwaben | kontakt@lesslauer.de
Nach oben
Oldperl
Beiträge: 4250
Registriert: Do 30. Jun 2005, 22:56
Wohnort: Eltmann, Unterfranken, Bayern
Kontaktdaten:
Kontaktdaten von Oldperl

Re: BUG? 4.9.12 XSS (CWE-79) in PIFA-Form

Beitrag von Oldperl » Fr 8. Dez 2017, 10:19

Servus,

schau mir das gerade an, derzeitiger Stand, auf der von David benannten Seite ist der Fehler nachvollziehbar, bei mehreren eigenen Installationen nicht. Ermittlungen gehen weiter... :wink:

Gruß aus Franken

Ortwin
ConLite 2.1, alternatives und stabiles Update von Contenido 4.8.x unter PHP 7.x - Download und Repo auf Gitport.de
phpBO Search Advanced - das Suchwort-Plugin für CONTENIDO 4.9
Mein Entwickler-Blog
Nach oben
Antworten

Zurück zu „Allgemeine Themen“