XSS-Schwachstelle im Blog-System Serendipity beseitigt

Möglicherweise lassen sich auf diese Weise Anmeldedaten abgreifen. Ursache des Problems ist die fehlende Filterung von Inhalten externer Feeds im Remote-RSS-Sidebar-Plugin.

11.12.2007, 11:07 Uhr

Lesezeit: 1 Min.

Von

Daniel Bachfeld

Über externe RSS-Feeds ist es möglich, Anwendern respektive Besuchern eines unter Serendipity arbeitenden Blog-Systems beliebigen HTML- und Skript-Code unterzuschieben und im Kontext des Blog-Systems im Browser auszuführen. Möglicherweise lassen sich auf diese Weise Anmeldedaten abgreifen. Ursache des Problems ist die fehlende Filterung von Inhalten externer Feeds im Remote-RSS-Sidebar-Plugin von Serendipity.

In der Version 1.2.1 von Serendipity ist der Fehler behoben. Daneben bringt die neue Version einige Verbesserungen mit und behebt kleinere Fehler. Ein neuer WordPress-Datenbank-Importer soll den Umstieg von WordPress auf Serendipity erleichtern.

Siehe dazu auch:

Serendipity 1.2.1 released, Ankündigung von Serendipity
Cross site scripting (XSS) in rss feed plugin of Serendipity 1.2 , Fehlerbericht von Hanno Böck

(dab)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

XSS-Schwachstelle im Blog-System Serendipity beseitigt

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.