SYSS-2019-032: Cross-Site Scripting-Schwachstelle im Confluence-Plug-in draw.io

Ein Security Advisory von IT Forensic Consultant Sebastian Nerz

Durch Fehler bei der Bereinigung bzw. Ausgabe von Benutzereingaben ließen sich HTML-Code und aktive Elemente wie JavaScript in Diagrammen unterbringen. So konnten bei der Betrachtung der Seite bspw. Befehle im Kontext des Besucherbenutzers ausgeführt werden.

Detaillierte Informationen zu dieser gefundenen Schwachstelle finden Sie in unserem Security Advisory/You will find detailed information about this security issue in our Security Advisory:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.


Termine

23.07.2019 - 26.07.2019
Hack1/Hack2: Hacking Workshop
12.09.2019
Secu3: IPv6-Security
17.09.2019 - 19.09.2019
Hack3: Angriffe auf Windows-basierte Netzwerke
24.09.2019
Hack6: Mobile Device Hacking