Sicherheitslücke in eGroupWare erlaubt XSS-Angriff

Laut einer Meldung der Sicherheitsspezialisten von Secunia wurde die Sicherheitslücke in der aktuellen Version 1.4.001 von eGroupWare nachgewiesen. Die Schwachstelle tritt in den Dateien „preferences/inc/class.uicategories.inc.php” und “admin/inc/class.uicategories.inc.php” auf und besteht in der mangelhaften Bereinigung von Benutzereingaben über den Parameter „cat_data[color]“. Durch gezielte Manipulation von Werten dieses Parameters können Angreifer unter Umständen beliebigen HTML- und Scriptcode in die Browser-Sitzung eines eGroupWare-Benutzers einspeisen. Im Subversion Repository wurde die Schwachstelle bereits geschlossen. (vgw)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.