Stored XSS Schwachstelle in der 'Umbenennen' Funktionalität von Wekan (Open-Source Kanban)

Title

Stored XSS Schwachstelle in der 'Umbenennen' Funktionalität

Product

Wekan (Open-Source Kanban)

Vulnerable Version

<=6.74

Fixed Version

6.75 oder höher

CVE Number

CVE-2023-28485

Impact

medium

Homepage

https://wekan.github.io

Found

30.12.2022

Heiner Liesegang (Office Berlin) | SEC Consult Vulnerability Lab

Die Projektmanagement-Software WeKan ist von einer Schwachstelle betroffen, welche es erlaubt beliebige Skripte innerhalb von Dateinamen einzubetten und diese bei Betrachtung auszuführen. Mithilfe der 'Umbenennen'-Funktion können Dateinamen beliebig modifiziert werden und können somit auch Text beinhalten, welcher nicht bereinigt wird und stattdessen direkt vom Browser interpretiert wird. Ein Angreifer kann hierdurch Code im Browser von Nutzern ausführen, sobald diese eine modifizierte Datei auswählen.

Zum vollständigen Security Advisory (Englisch).

EOF Heiner Liesegang / @2023

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück

Stored XSS Schwachstelle in der 'Umbenennen' Funktionalität von Wekan (Open-Source Kanban)

Wir nutzen Cookies

Technisch erforderlich

Analyse / Statistik

Matomo