Lücke zur Einspeisung von Scriptcode

Sicherheit: Sqlitemanager erlaubt XSS-Angriffe

Über eine Schwachstelle im Sqlite-Verwaltungswerkzeug „Sqlitemanager“ können Angreifer beliebigen Script- und/oder HTML-Code einspeisen.

Laut einem Bericht von Security Reason tritt die Schwachstelle in der aktuellen Version 1.2.0 des Sqlitemanager auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Das Programm dient zur Verwaltung der leichtgewichtigen Datenbankanwendung Sqlite, die unter allen gängigen Betriebssystemen weit verbreitet ist.

Die Sicherheitslücke lässt sich durch die gezielte Manipulation eines HTTP GET-Requests ausnutzen, der die Datei „main.php“ mit der Direktive „redirect“ ansteuert. Angreifer können beliebigen HTML- und Scriptcode einfügen, der vom Browser eines betroffenen Benutzers ausgeführt wird. Mit dieser Attacke lässt sich beispielsweise die Session-ID eines Sqlitemanager Benutzers ermitteln. Ein Update oder Patch ist bislang nicht verfügbar. (vgw)