SYSS-2019-032: Cross-Site Scripting-Schwachstelle im Confluence-Plug-in draw.io

Ein Security Advisory von IT Forensic Consultant Sebastian Nerz

Durch Fehler bei der Bereinigung bzw. Ausgabe von Benutzereingaben ließen sich HTML-Code und aktive Elemente wie JavaScript in Diagrammen unterbringen. So konnten bei der Betrachtung der Seite bspw. Befehle im Kontext des Besucherbenutzers ausgeführt werden.

Detaillierte Informationen zu dieser gefundenen Schwachstelle finden Sie in unserem Security Advisory/You will find detailed information about this security issue in our Security Advisory:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.


Termine

26.11.2019
Hack7: Sicherheit und Einfallstore bei Webapplikationen

28.11.2019
SySS auf der DeepSec

03.12.2019
Hack4: Angriffe gegen VoIP-Infrastrukturen