| PWM stopft XSS-Lücke |
 Kategorie: Intern |
| Die Arbeiten am neuen PWM 0.5 laufen nach bestandenem Abitur zwar wieder an, aber der Support für die Vorgängerversion ist noch nicht eingestellt. So entdeckte ich vor einer knappen halben Stunde eine Cross-Site-Scripting Lücke, durch welche es Angreifern möglich war beliebigen Code in Webseiten, die den PWM 0.4.x verwenden einzuschleusen. Die Lücke wurde natürlich sofort geschlossen und alle Webseiten entsprechend aktualisiert. Einige kleinere Änderungen - meißt ebenfalls Bugfixes - hatte ich bereits zuvor vorgenommen, sodass nun die PWM Version 0.4.7 zur Verfügung steht. Das komplette Changelog gibt es wie immer unter - WICHTIG: Kritischen Fehler in der action.php behoben, der es Angreifern ermöglichte durch manipulierte Plugin- oder Funktionsnamen fremden Code in eine Seite einzuschleusen. - Fehler im Link-Plugin behoben, der dazu führte, dass die Kategorienverwaltung nicht funktionierte - Fehler im DLC-Plugin behoben, der dazu führte, dass versteckte Einträge in der Anzeige zum Löschen oder Editieren für alle sichtbar waren - Im Sessionmanagment wurde die Variable $_SERVER['PATH_TRANSLATED'] durch __FILE__ ersetzt, um Probleme unter Apache 2 zu verhindern |
|
| posted by Marcel - 12.06.2008 - 14:36:43 |
Noch keine Kommentare
Du kannst nur eingeloggt Kommentare posten!
Jetzt einloggen!
