Cross-Site-Scripting in FOSS-Online (CVE-2024-34335)

Home / Blog / Cross-Site-Scripting in FOSS-Online (CVE-2024-34335)

Übersicht

Betroffenes Produkt: FOSS-Online vor Version 2.24.01
CVSS-Bewertung (v3.1): 6.1 (Medium)
Zugewiesene CVE: CVE-2024-34335
Empfehlung: Update zu Version 2.24.01 oder höher
Credit: Simon Holl von der MindBytes GmbH

Die Anwendung nutzt Benutzereingaben ungefiltert, um Inhalte in der Webseite zu generieren. Das kann dazu genutzt werden, um bösartigen JavaScript-Code einzuschleusen. Der Code wird im Browser von Benutzern ausgeführt, die eine präparierte URL mit enthaltenem JavaScript-Code aufrufen.

Technische Details

Die Login-Seite ist unter der URL /oronline/st/Anmelden.jsp verfügbar. Beim Aufruf kann der URL-Parameter inputUser angegeben werden. Der angebene Wert wird dabei ohne weitere Verarbeitung genutzt, um das Eingabefeld des Benutzernamens auf der Login-Seite auszufüllen.

Die Schwachstelle kann mit folgender URL ausgenutzt werden: /oronline/st/Anmelden.jsp?inputUser=user"><script>alert('Hello from MindBytes')</script>

Die Abbildung zeigt, dass der in der URL enthaltene JavaScript-Code beim Laden der Seite im Browser ausgeführt wird.

CVE-2024-34335 ausnutzen

Bereit für mehr IT-Sicherheit?

Dann nutze unseren Konfigurator, um ein passendes Angebot anzufragen oder schreibe uns, um ein individuelles Angebot zu erhalten.