[Metalab] [intern] [Security Fix Information] XSS Vulnerability in MOS
Sonst Wer
sonstwer at live.at
Sun Sep 24 11:19:02 CEST 2023
Vielen lieben Dank dir und allen anderen, die helfen die Metalab Technik sicher und funktionierend zu halten !
________________________________
Von: intern <intern-bounces at lists.metalab.at> im Auftrag von Hetti via intern <intern at lists.metalab.at>
Gesendet: Sonntag, 24. September 2023 01:28
An: Interne Metalab Liste (members only) <intern at lists.metalab.at>; Metalab General Discussion List <metalab at lists.metalab.at>
Betreff: [intern] [Security Fix Information] XSS Vulnerability in MOS
Hello Metalab People,
English at the bottom.
Letzte Nacht hatte ich den MOS Code verbessert und bin auf einen
Cross-Site-Scripting (XSS) [0.0] Attack-Vektor gestoßen. Der angegebene
Wiki Link bei der Eventerstellung wurde nicht überprüft und war anfällig
für XSS auf der Kalender Monatsübersicht Seite.
Die Lücke wurde von mir direkt gefixt [1] und die neue Version deployed.
Basierend darauf, wie das MOS konzipiert ist, haben nur Mitglieder einen
Account und können Events anlegen. Externe Personen können keine Events
anlegen.
Ich habe überprüft, ob in der Datenbank XSS Payloads existieren und
konnte keine finden. Ich gehe davon aus, dass kein Mitglied die
Sicherheitslücke ausgenutzt hat.
Session Cookies waren sicher, da das HttpOnly Flag [2] gesetzt ist und
waren dadurch nicht via JavaScript auslesbar.
----------------------------------------------------------------------------
Last night I was improving the MOS Code and discovered a Cross Site
Scripting (XSS) [0.1] attack vector. The provided Wiki Link for the
event creation was not sanitized and was prone to XSS on the calendar
monthly overview page.
I directly fixed the issue [1] and deployed the new version.
Due to the concept of MOS, only members get an account and can create
events. External people cannot create events.
I checked the database for XSS payloads and could not find any. I
assume, that no member abused this vulnerability.
Session Cookies were safe, because the HttpOnly Flag [2] is set, and
therefore they are not accessible via JavaScript.
Cheers,
Hetti
[0.0] https://de.wikipedia.org/wiki/Cross-Site-Scripting
[0.1] https://owasp.org/www-community/attacks/xss/
[1]
https://github.com/Metalab/mos/commit/56630ae283a43954b14c0e95344f7a613dbdc85f
[2] https://owasp.org/www-community/HttpOnly
_______________________________________________
intern mailing list
intern at lists.metalab.at
https://metalab.at/wiki/Intern_Abonnement_Verwalten
https://lists.metalab.at/mailman/listinfo/intern
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.metalab.at/pipermail/metalab/attachments/20230924/50740952/attachment.htm>
More information about the Metalab
mailing list