Cross-Site-Scripting gegen EEB-CMS gemeldet

Über eine Sicherheitslücke in EEB-CMS können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer Anwender einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia wurde die Schwachstelle in Version 0.95 von EEB-CMS nachgewiesen. Andere Versionen des Content-Management-System sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „content“ in der Datei „index.php“. Durch gezielte Manipulation dieser Eingaben können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer CMS-Benutzer einspeisen und dort ausführen. Ein Patch ist bislang nicht bekannt.