Mehrere Cross-Site Scripting Schwachstellen in Confluence Marketplace Plugins

Project Description

Mehrere Confluence-Plugins verschiedener Hersteller sind von Stored Cross-Site-Scripting-Schwachstellen betroffen, wodurf Angreifer potenziell schädlichen JavaScript-Code in Confluence-Seiten einfügen können.

Zum ausführlichen Security-Advisory (Englisch)

Security Research: D. Teuchert, R. Ferdigg / @2020

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

  • TitleMehrere Cross-Site Scripting Schwachstellen in Confluence Marketplace Plugins
  • ProductPlantUML, Refined Toolkit for Confluence, Linking for Confluence, Countdown Timer, Server Status
  • Vulnerable versionPlantUML: 6.43, Refined Toolkit for Confluence: 2.2.5, Linking for Confluence: 5.5.3, Countdown Timer: 1.7.0, Server Status: 1.2.1
  • Fixed versionPlantUML: 6.44, Refined Toolkit for Confluence: 2.2.7, Linking for Confluence: 5.5.7, Countdown Timer: 1.7.1, Server Status: 1.2.2
  • ImpactMedium
  • HomepagePlantUML: https://marketplace.atlassian.com/apps/41025/plantuml-for-confluence Refined Toolkit for Confluence: https://marketplace.atlassian.com/apps/1211136/refined-toolkit-for-confluence Linking for Confluence: https://marketplace.atlassian.com/apps/166/linking-for-confluence Countdown Timer: https://marketplace.atlassian.com/apps/1211116/countdown-timer Server Status: https://marketplace.atlassian.com/apps/1212916/server-status
  • Found2020-08-12
  • ByDaniel Teuchert (Office Bochum), Roman Ferdigg (Office Vienna) | SEC Consult Vulnerability Lab