Cross-Site Scripting gegen PHPList Pro gemeldet

In dem aktuellen Bericht beziehen sich die Sicherheitsexperten von Secunia auf eine unbekannte Quelle. Betroffen ist die aktuelle Version 2.0.1 des freien E-Mail Newsletter Managers PHPList. Die Schwachstelle entsteht in der Datei „addsite.php“. Durch gezielte Manipulation des Parameters „site_address“ können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung eines Benutzers einspeisen und im Kontext der betroffenen Website ausführen. Ein Patch existiert bisher nicht, es wird empfohlen, die Sicherheitslücke direkt im Sourcecode von PHPList zu schließen. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.