SQL Injektion Gefahr eliminiert
Mit der Version 1.5.32 wurde eine Sicherheitslücke in der beliebten KISS Advertiser Kleinanzeigenkomponente geschlossen. KISS stufte die Sicherheitslücke als kritisch ein.
Durch eine Requestabfrage bei einer bestimmten Funktion bestand die Möglichkeit einer SQL-Injektion. Hierbei können Angreifer durch gezielte Manipulation des URI-Strings Daten aus der Datenbank auslesen und im schlimmsten Fall sogar verändern.
Ferner bestand bei zwei Formularen die Gefahr eines Cross-Site-Scripting (XSS) Angriffs. Cross-Site Scripting ist eine Art der HTML Injection. Cross-Site Scripting tritt dann auf, wenn eine Webanwendung Daten annimmt, die von einem Nutzer stammen, und diese Daten dann an einen Browser weitersendet, ohne den Inhalt zu überprüfen. Damit ist es einem Angreifer möglich, auch Skripte indirekt an den Browser des Opfers zu senden und damit Schadcode auf der Seite des Clients auszuführen.
Wie der Sicherheitsbeauftragte Jens Hammerstein (Mossad) von KISS Software mitteilt, wurden sämtliche Request-Strings jetzt gegen SQL-Injektion und alle Formulare gegen XSS abgesichert. KISS empfiehlt dringend, die neueste Version des KISS Advertisers herunterzuladen und zu installieren.
KISS Advertiser Sicherheitslücke geschlossen
