CMS ActiveWeb Contentserver lückenhaft
RedTeam Pentesting hat in mehreren Fehlerberichten auf Schwachstellen im Content-Management-System ActiveWeb Contentserver 5.x hingewiesen, mit denen ein Editor etwa auf die Datenbank zugreifen kann.
Der deutsche Dienstleister RedTeam Pentesting hat in mehreren Fehlerberichten auf Schwachstellen im Content-Management-System ActiveWeb Contentserver 5.x hingewiesen. So kann ein Nutzer mit Editor-Rechten trotz definierter Einschränkungen Dokumente an beliebigen Orten erzeugen. Zudem kann ein Editor durch eine SQL-Injection-Lücke beliebige Befehle an die Datenbank übergeben und diese so manipulieren.
Darüber hinaus lässt sich JavaScript in Dokumente einbetten, obwohl das WYSIWYG-Interface dies eigentlich verhindern soll. Dazu muss laut Fehlerbericht ein Editor zwei POST-Requests beim Abspeichern des Dokumentes manipulieren. Schließlich finden sich in ActiveWeb Contentserver noch zwei Cross-Site-Scripting-Lücken. Betroffen sind Versionen bis einschließlich 5.6.2929. Der Fehler ist in Version 5.6.2964 behoben.
Siehe dazu auch:
- ActiveWeb Contentserver CMS SQL Injection Management Interface, Fehlerbericht von RedTeam
- ActiveWeb Contentserver CMS Multiple Cross Site Scriptings, Fehlerbericht von RedTeam
- ActiveWeb Contentserver CMS Clientside Filtering of Page Editor Content, Fehlerbericht von RedTeam
- ActiveWeb Contentserver CMS Editor Permission Settings Problem, Fehlerbericht von RedTeam
(dab)