Das Produkt openVIVA c2 des Herstellers mb Support ist anfällig für gezielte Stored Cross-Site Scripting Angriffe. Ein authentifizierter Benutzer der Rolle "Benutzer" kann einen neuen Prozess anlegen und beliebiges JavaScript in das Feld "Name" eintragen, da dieses nicht ausreichend validiert wird. Anschließend kann er den angelegten Prozess einem "Hauptverantwortlichem" zuweisen, wodurch der Angreifer das Opfer gezielt auswählen kann.
Zum vollständigen Security Advisory (Englisch).
EOF Daniel Hirschberger / @2023
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.