Cross-Site-Scripting gegen DekiWiki möglich

Über eine Schwachstelle in DekiWiki können Angreifer per XSS beliebigen HTML- und Scriptcode einspeisen. Ein Patch beseitigt diesen Mangel.

Laut einer Meldung von Secunia tritt die Sicherheitslücke in allen Versionen von DekiWiki vor Version 8.05.1 auf. Die Schwachstelle entsteht durch die mangelhafte Bereinigung eines Parameters, der innerhalb der Suchfunktion übergeben wird. Durch gezielte Manipulation dieses Parameters können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer DekiWiki Benutzer einspeisen. Die Sicherheitslücke wird in Version 8.05.1 behoben. (vgw)