Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in der aktuellen Version von StingRay FTS auf. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben, die im Management Interface an den Parameter „form_username“ (Datei: „login.asp“) übergeben werden. Durch gezielte Manipulation dieser Eingaben können Angreifer beliebigen HTML- und Scriptcode in die Browser-Sitzung anderer Benutzer einspeisen. Ein Patch liegt bislang nicht vor. (vgw)
Cross-Site Scripting gegen StingRay FTS möglich
15.09.2008
Über eine Sicherheitslücke in StingRay FTS, einem dedizierten File-Transfer-Server, können Angreifer per XSS beliebigen Script- und HTML-Code injizieren.