Serendipity Forums

User and developer community
https://board.s9y.org/

Serendipity 2.4.0 - Cross-Site Scripting (XSS) Remote Code Execution (RCE) (Authenticated)

https://board.s9y.org/viewtopic.php?t=25908

Page 1 of 1

Serendipity 2.4.0 - Cross-Site Scripting (XSS) Remote Code Execution (RCE) (Authenticated)

Posted: Fri Apr 21, 2023 11:21 am
by elguenny
Es sind zwei neue Lücken aufgetaucht
https://www.exploit-db.com/exploits/51373
https://www.exploit-db.com/exploits/51372

Wird es dafür einen Fix geben?

Re: Serendipity 2.4.0 - Cross-Site Scripting (XSS) Remote Code Execution (RCE) (Authenticated)

Posted: Fri Apr 21, 2023 4:01 pm
by onli
Nicht auf die Goldwaage legen, Ersteinschätzung:

1. Nein, das sieht wie die übliche Nichtakzeptanz unseres Rechtemodells aus, demnach ein Editor nunmal Javascriptcode in Einräge packen kann.
2. Das sieht mir eher problematisch aus. Zumindest ist es nicht gewollt, dass an dieser Stelle PHP-Code ausführbar hochgeladen werden kann. Das sollte gefixt werden, ja.
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited