Datum: 16.03.2009
, Kategorie:
Kunden,
Scripte
Es hat sich herausgestellt, dass es entgegen früheren Erkenntnissen doch eine Sicherheitslücke in zweien unserer Scripte gab, die Cross Site Scripting erlaubte. Das Problem war $_SERVER['PHP_SELF'], das nicht genügend auf eingeschleusten JavaScript-Code geprüft worden war. Dadurch wäre es einem Angreifer zum Beispiel möglich, Zugriff auf die Session-Cookies eines Benutzers zu erlangen.
Betroffen hat es das Form Mail Script und das Voting Script. Für beide Scripte gab's natürlich sofort Updates und für den Hinweisgeber eine kostenlose Script-Lizenz.