zurück zum Artikel

Möglicherweise lassen sich auf diese Weise Anmeldedaten abgreifen. Ursache des Problems ist die fehlende Filterung von Inhalten externer Feeds im Remote-RSS-Sidebar-Plugin.

Über externe RSS-Feeds ist es möglich, Anwendern respektive Besuchern eines unter Serendipity [1] arbeitenden Blog-Systems beliebigen HTML- und Skript-Code unterzuschieben und im Kontext des Blog-Systems im Browser auszuführen. Möglicherweise lassen sich auf diese Weise Anmeldedaten abgreifen. Ursache des Problems ist die fehlende Filterung von Inhalten externer Feeds im Remote-RSS-Sidebar-Plugin von Serendipity.

In der Version 1.2.1 von Serendipity ist der Fehler behoben. Daneben bringt die neue Version einige Verbesserungen mit und behebt kleinere Fehler. Ein neuer WordPress-Datenbank-Importer soll den Umstieg von WordPress auf Serendipity erleichtern.

Siehe dazu auch:

• Serendipity 1.2.1 released [2], Ankündigung von Serendipity
• Cross site scripting (XSS) in rss feed plugin of Serendipity 1.2 [3], Fehlerbericht von Hanno Böck

(dab [4])

URL dieses Artikels:
https://www.heise.de/-169122

Links in diesem Artikel:
[1] http://www.s9y.org/
[2] http://blog.s9y.org/archives/187-Serendipity-1.2.1-released.html
[3] http://www.int21.de/cve/CVE-2007-6205-s9y.html
[4] mailto:dab@ct.de

Copyright © 2007 Heise Medien