Cross-Site-Scripting gegen eTicket möglich

Über eine Sicherheitslücke in eTicket lassen sich Cross-Site-Scriping-Angriffe ausführen. Für die Sicherheitslücke existiert kein Patch.

In einem aktuellen Bericht meldet Secunia zwei Schwachstellen in eTicket. Betroffen ist die aktuelle Version 1.5.x, nachgewiesen wurde die Schwachstelle bereits bei 1.5.5 und 1.5.5.1. Die Sicherheitslücke entsteht durch die mangelhafte Überprüfung von Benutzereingaben an die Parameter „err“ und „warn“ in der Datei „open.php“. Angreifer können diese ausnutzen, um beliebigen Script- und HTML-Code in die Sitzung eines anderen eTicket-Benutzers einzuspeisen. Da kein Patch existiert, wird die Bearbeitung der fehlerhaften Codepassagen per Hand empfohlen. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.

tecCHANNEL Shop und Preisvergleich

Links zum Thema IT-Sicherheit

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Software-Shop

Virenscanner