Cross-Site-Scripting gegen AutoNessus möglich

Über eine Sicherheitslücke in AutoNessus können Angreifer per XSS beliebigen HTML- und Scriptcode in die Browsersitzung anderer Benutzer einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in der aktuellen Version 1.x vor 1.2.2 auf. Die Sicherheitslücke entsteht durch die mangelhafte Bereinigung von Eingaben an den Parameter „remark“ in der Datei „bulk_update.pl“. Angreifer, die diese Eingaben manipulieren, können beliebigen HTML- und Scriptcode in die Browsersitzung anderer AutoNessus Anwender einspeisen. Die neuste Version 1.2.2 beseitigt diesen Mangel. (vgw)