XSS-Angriff gegen Webkalender Calcium

Durch eine Sicherheitslücke in Calcium, einem verbreiteten Webkalender, können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer Benutzer einspeisen.

Nach einer Meldung von Secunia tritt die Sicherheitslücke in Version 3.10 sowie 4.0.4 (Demo) auf. Andere Versionen sind unter Umständen ebenfalls betroffen. Die Schwachstelle entsteht durch die mangelhafte Bereinigung von Eingaben, die an den Parameter „CalenderName“ in der Datei „Calcium40.pl“ übergeben werden. Durch gezielte Manipulation dieses Parameters können Angreifer beliebigen HTML- und Scriptcode in die Browsersitzung anderer Benutzer einspeisen. Ein Patch ist bisher nicht bekannt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.