Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.

#1 11. April 2015 20:27

cyberman
Moderator
Ort: Dohna / Sachsen
Registriert: 13. September 2010
Beiträge: 6.879
Webseite

News-Modul 2.15 und XSS-Vulnerability...

... und schon gibt's die 1.11.13

http://www.cmsmadesimple.org/2015/02/Announcing-CMS-Made-Simple-1-11-13-Security-Release/ schrieb:

The News fesubmit feature that allows site visitors to submit News articles was particularly vulnerable. Although we do not think that this feature is used much, it is available, and all CMSMS sites that use the News module, or have it enabled, are vulnerable to attack.

The new version of News now has an option to enable the fesubmit feature, which is OFF by default. This means that upon upgrade, the sites that do use the fesubmit feature of News must explicitly enable it in the module settings.

Offensichtlich wurde da nix daran gemacht - und das Abschalten des fesubmit Features ist keine wirkliche Lösung, wenn eine Webseite genau diese Funktion verwendet/benötigt.

Sollte doch aber nicht all zu schwer sein, dies

https://www.owasp.org/index.php/XSS_(Cr … heat_Sheet

für CMSMS umzusetzen  roll  hmm  ...


1. Wie bekomme ich hier schnelle Hilfe?
2. HowTo: Fehlersuche bei CMS/ms
---
„First they ignore you, then they laugh at you, then they fight you, then you win.“ Mahatma Ghandi

Offline

#2 11. April 2015 21:00

nockenfell
Moderator
Ort: Lenzburg, Schweiz
Registriert: 09. November 2010
Beiträge: 2.815
Webseite

Re: News-Modul 2.15 und XSS-Vulnerability...

Darum unter anderem möglicherweise die 1.12er


[dieser Beitrag wurde mit 100% recycled bits geschrieben]
Mein Blog  /   Diverse Links rund um CMS Made Simple
Module: btAdminer, ToolBox

Offline