Cross-Site Scripting in d.ecs shell von d.velop (SYSS-2025-041)

d.ecs shell, eine Komponente der webbasierten Oberfläche der Produkt-Suite d.3ecm der d.velop AG, enthält eine Schwachstelle für Cross-Site Scripting. Diese ermöglicht das Ausführen von beliebigem JavaScript-Code nach dem Öffnen eines präparierten Links und anschließendem Öffnen eines Menüs. Hierfür wird der JavaScript-Code in einen URL-Parameter eingeschleust und anschließend in die Webseite eingefügt. Das JavaScript wird anschließend ausgeführt, nachdem der User ein Menü öffnet.

Diese Schwachstelle basiert auf einer anderen, zuvor vom Hersteller behobenen Schwachstelle in d.ecs shell (DV-SEC-2025-03). Der initiale Patch für diese Lücke konnte umgangen werden. Im Gegensatz zur ursprünglichen Schwachstelle ist hierfür allerdings weitere Userinteraktion nötig.

Das Problem wurde in der vom Hersteller angebotenen Cloud-Version sowie in den On-Premises-Produktversionen 7.30.14, 7.33.4 bzw. 7.34.1 behoben.

Detaillierte Informationen zu diesen gefundenen Schwachstellen finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

• SYSS-2025-041

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.