[Metalab] [Security Fix Information] XSS Vulnerability in MOS

[Hetti]

Hello Metalab People,

English at the bottom.

Letzte Nacht hatte ich den MOS Code verbessert und bin auf einen 
Cross-Site-Scripting (XSS) [0.0] Attack-Vektor gestoßen. Der angegebene 
Wiki Link bei der Eventerstellung wurde nicht überprüft und war anfällig 
für XSS auf der Kalender Monatsübersicht Seite.

Die Lücke wurde von mir direkt gefixt [1] und die neue Version deployed.

Basierend darauf, wie das MOS konzipiert ist, haben nur Mitglieder einen 
Account und können Events anlegen. Externe Personen können keine Events 
anlegen.

Ich habe überprüft, ob in der Datenbank XSS Payloads existieren und 
konnte keine finden. Ich gehe davon aus, dass kein Mitglied die 
Sicherheitslücke ausgenutzt hat.

Session Cookies waren sicher, da das HttpOnly Flag [2] gesetzt ist und 
waren dadurch nicht via JavaScript auslesbar.

----------------------------------------------------------------------------

Last night I was improving the MOS Code and discovered a Cross Site 
Scripting (XSS) [0.1] attack vector. The provided Wiki Link for the 
event creation was not sanitized and was prone to XSS on the calendar 
monthly overview page.

I directly fixed the issue [1] and deployed the new version.

Due to the concept of MOS, only members get an account and can create 
events. External people cannot create events.

I checked the database for XSS payloads and could not find any. I 
assume, that no member abused this vulnerability.

Session Cookies were safe, because the HttpOnly Flag [2] is set, and 
therefore they are not accessible via JavaScript.

Cheers,
Hetti

[0.0] https://de.wikipedia.org/wiki/Cross-Site-Scripting

[0.1] https://owasp.org/www-community/attacks/xss/

[1] 
https://github.com/Metalab/mos/commit/56630ae283a43954b14c0e95344f7a613dbdc85f

[2] https://owasp.org/www-community/HttpOnly