XSS-Schwachstelle im Blog-System Serendipity beseitigt
Möglicherweise lassen sich auf diese Weise Anmeldedaten abgreifen. Ursache des Problems ist die fehlende Filterung von Inhalten externer Feeds im Remote-RSS-Sidebar-Plugin.
Über externe RSS-Feeds ist es möglich, Anwendern respektive Besuchern eines unter Serendipity arbeitenden Blog-Systems beliebigen HTML- und Skript-Code unterzuschieben und im Kontext des Blog-Systems im Browser auszuführen. Möglicherweise lassen sich auf diese Weise Anmeldedaten abgreifen. Ursache des Problems ist die fehlende Filterung von Inhalten externer Feeds im Remote-RSS-Sidebar-Plugin von Serendipity.
In der Version 1.2.1 von Serendipity ist der Fehler behoben. Daneben bringt die neue Version einige Verbesserungen mit und behebt kleinere Fehler. Ein neuer WordPress-Datenbank-Importer soll den Umstieg von WordPress auf Serendipity erleichtern.
Siehe dazu auch:
- Serendipity 1.2.1 released, Ankündigung von Serendipity
- Cross site scripting (XSS) in rss feed plugin of Serendipity 1.2 , Fehlerbericht von Hanno Böck
(dab)