Menü

CMS ActiveWeb Contentserver lückenhaft

vorlesen Drucken Kommentare lesen

Der deutsche Dienstleister RedTeam Pentesting hat in mehreren Fehlerberichten auf Schwachstellen im Content-Management-System ActiveWeb Contentserver 5.x hingewiesen. So kann ein Nutzer mit Editor-Rechten trotz definierter Einschränkungen Dokumente an beliebigen Orten erzeugen. Zudem kann ein Editor durch eine SQL-Injection-Lücke beliebige Befehle an die Datenbank übergeben und diese so manipulieren.

Darüber hinaus lässt sich JavaScript in Dokumente einbetten, obwohl das WYSIWYG-Interface dies eigentlich verhindern soll. Dazu muss laut Fehlerbericht ein Editor zwei POST-Requests beim Abspeichern des Dokumentes manipulieren. Schließlich finden sich in ActiveWeb Contentserver noch zwei Cross-Site-Scripting-Lücken. Betroffen sind Versionen bis einschließlich 5.6.2929. Der Fehler ist in Version 5.6.2964 behoben.

Siehe dazu auch:

(dab)