Kein Patch vorhanden

Cross-Site-Scripting gegen Oracle Siebel CRM 7.x möglich

Secunia warnt vor einer Schwachstelle in Oracle Siebel CRM 7.x. Mittels CSS-Angriffen könnte sich Script-Code ausführen lassen.

Derzeit wird das Oracle Siebel RM 7.x von einer Schwachstelle geplagt. Eingaben in htim_enu/start.swe via URL werden nicht ausreichend überprüft, bevor die Software das Ergebnis an den Anwender zurückgibt. Diesen Umstand könnten böswillige Hacker ausnutzen, um beliebigen HTML- oder Script-Code in der Browser-Sitzung eines Anwenders auszuführen.

Bestätigt ist die Sicherheitslücke für die Versionen 7.7 und 7.8. Andere Ausgaben könnten ebenfalls betroffen sein. Ein Update steht derzeit nicht zur Verfügung. Die Sicherheitsexperten raten Administratoren, die üblichen verdächtigen Zeichen mittels Web-Proxy auszufiltern. Secunia stuft das Sicherheitsloch als mittelschwer ein. (jdo)