Schwachstelle in Rapidleech 2.x gemeldet

Die Sicherheitslücken sind als kritisch eingestuft. Die erste Schwachstelle hängt mit Eingaben in den links-Parameter in der Datei audl.php zusammen. Diese werden nicht ausreichen überprüft, bevor sie an den Anwender zurückgegeben werden. Somit könnte sich unter Umständen beliebiger HTML- und Script-Code in der Browser-Sitzung eines Anwenders ausführen lassen.

Ein ähnlicher Fehler ist in der Datei notes.php. Eingaben in den Parameter notes überprüft die Software hier nicht sorgfältig genug. Auch hier könnte sich beliebiger HTML- oder Script-Code in der Browser-Sitzung eines Anwenders ausführen lassen.

Die Schwachstellen sind für die Versionen 2.3 rev42 SVN r358 bestätigt. Andere Ausgaben könnten ebenfalls betroffen sein. Die zweite Schwachstelle ist in der SVN-Version bereits repariert. Ansonsten steht kein Update zur Verfügung. Anwender können den Quellcode dahingehend verändern, dass die Software die Parameter ausreichen überprüft: code.google.com (jdo)