Cross-Site Scripting gegen StingRay FTS möglich

Über eine Sicherheitslücke in StingRay FTS, einem dedizierten File-Transfer-Server, können Angreifer per XSS beliebigen Script- und HTML-Code injizieren.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in der aktuellen Version von StingRay FTS auf. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben, die im Management Interface an den Parameter „form_username“ (Datei: „login.asp“) übergeben werden. Durch gezielte Manipulation dieser Eingaben können Angreifer beliebigen HTML- und Scriptcode in die Browser-Sitzung anderer Benutzer einspeisen. Ein Patch liegt bislang nicht vor. (vgw)