Somit könnte sich beliebiger HTML- und Script-Code in der Browser-Sitzung eines Anwenders ausführen lassen.
Weiterhin könnten Anwender mittels Administrations-Konsole bestimmte Aktionen über HTTP-Anfragen ausführen. Was sich damit genau anstellen lässt, wurde nicht enthüllt. Der Administrator muss aber eine speziell manipulierte Webseite besuchen.
Die Sicherheitslücken sind für Version 7.02 bestätigt. Andere Ausgaben könnten ebenfalls betroffen sein. Ein Update für die als weniger kritische eingestuften Fehler steht noch nicht bereit. Im Git-Repository sind die Probleme aber ausgemerzt: bugzilla.redhat.com, bugzilla.redhat.com, issues.jboss.org. Mehr Informationen zu Cross Site Scripting finden Sie hier bei TecChannel. (jdo)