Cross-Site Scripting gegen Interchange möglich

Über eine Sicherheitslücke in Interchange können Angreifer per XSS-Attacke beliebigen HTML- und Scriptcode in die Browsersitzung anderer Anwender einspeisen.

Laut einer Meldung der Sicherheitsexperten von Secunia wurde die Schwachstelle in den Versionen vor 5.4.3 und vor 5.6.1 von Interchange nachgewiesen. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke ist auf die mangelhafte Bereinigung von Eingaben an das Widget „country-select“ und das CGI-Script „mv_order_item“ zurückzuführen. Durch gezielte Manipulation solcher Eingaben können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer Interchange-Anwender einspeisen. Die neuesten Versionen von Interchange, 5.4.3 und 5.6.1, beseitigen diesen Fehler. (twi)