
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

</head>

<body>

<div style="font-family: inherit; font-size: inherit; color: rgb(0, 0, 0); background-color: transparent;">

</div>

<div>Vielen lieben Dank dir und allen anderen, die helfen die Metalab Technik sicher und funktionierend zu halten !<br>

</div>

<hr style="display:inline-block;width:98%" tabindex="-1">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>Von:</b> intern <intern-bounces@lists.metalab.at> im Auftrag von Hetti via intern <intern@lists.metalab.at><br>

<b>Gesendet:</b> Sonntag, 24. September 2023 01:28<br>

<b>An:</b> Interne Metalab Liste (members only) <intern@lists.metalab.at>; Metalab General Discussion List <metalab@lists.metalab.at><br>

<b>Betreff:</b> [intern] [Security Fix Information] XSS Vulnerability in MOS</font>

<div> </div>

</div>

<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">

<div class="PlainText">Hello Metalab People,<br>

<br>

English at the bottom.<br>

<br>

Letzte Nacht hatte ich den MOS Code verbessert und bin auf einen <br>

Cross-Site-Scripting (XSS) [0.0] Attack-Vektor gestoßen. Der angegebene <br>

Wiki Link bei der Eventerstellung wurde nicht überprüft und war anfällig <br>

für XSS auf der Kalender Monatsübersicht Seite.<br>

<br>

Die Lücke wurde von mir direkt gefixt [1] und die neue Version deployed.<br>

<br>

Basierend darauf, wie das MOS konzipiert ist, haben nur Mitglieder einen <br>

Account und können Events anlegen. Externe Personen können keine Events <br>

anlegen.<br>

<br>

Ich habe überprüft, ob in der Datenbank XSS Payloads existieren und <br>

konnte keine finden. Ich gehe davon aus, dass kein Mitglied die <br>

Sicherheitslücke ausgenutzt hat.<br>

<br>

Session Cookies waren sicher, da das HttpOnly Flag [2] gesetzt ist und <br>

waren dadurch nicht via JavaScript auslesbar.<br>

<br>

----------------------------------------------------------------------------<br>

<br>

Last night I was improving the MOS Code and discovered a Cross Site <br>

Scripting (XSS) [0.1] attack vector. The provided Wiki Link for the <br>

event creation was not sanitized and was prone to XSS on the calendar <br>

monthly overview page.<br>

<br>

I directly fixed the issue [1] and deployed the new version.<br>

<br>

Due to the concept of MOS, only members get an account and can create <br>

events. External people cannot create events.<br>

<br>

I checked the database for XSS payloads and could not find any. I <br>

assume, that no member abused this vulnerability.<br>

<br>

Session Cookies were safe, because the HttpOnly Flag [2] is set, and <br>

therefore they are not accessible via JavaScript.<br>

<br>

Cheers,<br>

Hetti<br>

<br>

[0.0] <a href="https://de.wikipedia.org/wiki/Cross-Site-Scripting">https://de.wikipedia.org/wiki/Cross-Site-Scripting</a><br>

<br>

[0.1] <a href="https://owasp.org/www-community/attacks/xss/">https://owasp.org/www-community/attacks/xss/</a><br>

<br>

[1] <br>

<a href="https://github.com/Metalab/mos/commit/56630ae283a43954b14c0e95344f7a613dbdc85f">https://github.com/Metalab/mos/commit/56630ae283a43954b14c0e95344f7a613dbdc85f</a><br>

<br>

[2] <a href="https://owasp.org/www-community/HttpOnly">https://owasp.org/www-community/HttpOnly</a><br>

<br>

_______________________________________________<br>

intern mailing list<br>

intern@lists.metalab.at<br>

<a href="https://metalab.at/wiki/Intern_Abonnement_Verwalten">https://metalab.at/wiki/Intern_Abonnement_Verwalten</a><br>

<a href="https://lists.metalab.at/mailman/listinfo/intern">https://lists.metalab.at/mailman/listinfo/intern</a><br>

</div>

</span></font></div>

</body>

</html>