pdadmin-forum

pdadmin-forum » Archive » News Archiv » pd-admin v4, multiple cross-site scripting vulnerabilities » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Thema ist geschlossen
Zum Ende der Seite springen pd-admin v4, multiple cross-site scripting vulnerabilities
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.822
Herkunft: Berlin

pd-admin v4, multiple cross-site scripting vulnerabilities Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
Sehr geehrte Damen und Herrn,

wie mit dem Update 4.17 angekündigt, finden Sie nachfolgend genauere
Informationen zu den behobenen XSS-Sicherheitslücken. An dieser Stelle
möchten wir uns herzlich bei Herrn Roth bedanken, der die Probleme
aufgedeckt hat.

Betroffen sind sämtliche Versionen < 4.17. Die Gefahrenstufe würden wir
selbst als leicht bis mittelschwer einstufen - ein Diebstahl von
Sessions ist aufgrund der IP-Bindung in der Regel nicht möglich.

Sofern Sie das Sicherheitsupdate noch nicht eingespielt haben, raten wir
Ihnen, das dringend zu erledigen.

Mit freundlichen Grüßen,
Daniel Bradler

-- 
Bradler & Krantz GmbH & Co. KG, Kurt-Schumacher-Platz 9, 44787 Bochum
AG Bochum HRA 4523, Geschäftsführung: Daniel Bradler, Joachim Krantz
Komplementärin: B&K Verwaltungs GmbH, Amtsgericht Bochum HRB 7849
Telefon: +49-234-6870390,  Telefax: +49-234-68703955


pd-admin v4, multiple cross-site scripting vulnerabilities
==========================================================

Created on : 2013-03-06
Updated on : 2013-03-07
Type       : Remote
CVE-IDs    : Not yet assigned

Authors
-------
Thomas Roth <thomas.roth@leveldown.de>

Affected Products
-----------------
pd-admin (<= 0.4)

Overview
--------
pd-admin is a web-interface for administrators, resellers and end
customers of
hosting providers.

Description
-----------
It was found that many text-inputs in the latest version of pd-admin are
vulnerable
to either reflective XSS (as seen in example 1) or stored XSS (as seen
in example
2).

Solution
--------
None at this time.

Vendor Communication
--------------------
2013-03-05 - The vendor was contacted and asked for a contact person
2013-03-06 - This document was sent to Daniel Bradler from pd-admin
2013-03-07 - After coordination with the vendor the CERT
(http://cert.org) has been
notified. The tracking ID is VRF#HDZX8VO6.

Examples
--------
Example 1 (Reflective cross-site scripting):
When pasting the string below into the 'Create new directory' textfield
(found under
'WebFTP' -> 'Overview'), the error page will include the attacker
supplied
JavaScript code.

"><script>alert("XSS");</script>

Example 2 (Stored cross-site scritping):
When storing the string below as the body for an e-mail autoresponder,
every time
someone tries to change the text of the autoresponder, the attacker
supplied
JavaScript code will execute. By tricking a (higher privileged) support
contact into
looking at it, the attacker might be able to steal the support contact's
session
cookie.

</textarea><script>alert("XSS");</script>


__________________
Wunschzettel smile
Farbtabelle
14.03.2013 15:36 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
Baumstruktur | Brettstruktur
Gehe zu:
Thema ist geschlossen
pdadmin-forum » Archive » News Archiv » pd-admin v4, multiple cross-site scripting vulnerabilities

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de