WebSPELL: Mehrere Cross-Site-Scripting Lücken

Laut einem Bericht von Secunia treten die Schwachstellen in der aktuellen Version 4.01.02 von WebSPELL auf. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Sicherheitslücken entstehen durch die mangelhafte Überprüfung von diversen Parametern in den Dateien „calendar.php“ und „usergallery.php“. Durch gezielte Manipulation solcher Parameter können Angreifer per Cross-Site-Scripting beliebigen HTML- und Scriptcode in die Browsersitzung eines WebSPELL Anwenders einspeisen. Da bislang kein Patch existiert, wird empfohlen, die betroffenen Passagen direkt im Quellcode von WebSPELL zu korrigieren. (vgw)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.