Lücken in Blogger-Software Serendipity
Im Administrationsinterface finden sich mehrere Cross-Site-Scripting-Lücken. Eine neue Version behebt die Fehler.
Der PHP-Sicherheitsspezialist Stefan Esser hat in der Weblog-Software Serendipity mehrere Cross-Site-Scripting-Schwachstellen gemeldet. Die Lücken finden sich laut Esser inbesondere im Administrationsinterface von Serendipity. Schafft es ein Angreifer dem Admin eigene JavaScripte unterzuschieben, so könne damit ebenfalls jegliche administrativen Tätigkeiten durchführen -- bis hin zur Veröffentlichung von Blogeinträgen und dem Anlegen neuer Administratoren. Betroffen sind Serendipity-Versionen bis einschließlich 1.0.1. In der neuen Version 1.0.2 ist das Problem beseitigt.
Siehe dazu auch: (dab)
- Serendipity Weblog XSS Vulnerabilities, Fehlerbericht von Stefan Esser
