Hallo allerseits,

Eddie hat im Forum eine Cross-Site-Scripting-Lücke gefunden, die ich nun behoben habe. Das Problem bestand darin, dass der Inhalt hinter @title= bei Links auf andere Postings im Forum nicht richtig HTML-Escaped wurde, d.h. beliebiges HTML injiziert werden konnte. Ich habe die Lücke soeben behoben.

@Eddie: Ich würde Dich bitten (und alle anderen, die evtl. eine Sicherheitslücke bei uns finden), dass Du Sicherheitslücken am Anfang nicht über öffentliche Kanäle meldest, sondern uns stattdessen eine E-Mail schickst, Stichwort "responsible disclosure". Du hast die Lücke sowohl im Bugtracker als auch im Forum öffentlich erläutert, ohne uns vorher eine Chance zu geben, die zu beheben. In der Zeit hätten Leute diese Lücke ausnutzen können. Du solltest uns zumindest etwas Zeit geben, die Lücke zu beheben, bevor Du Informationen zu dieser öffentlich machst. Danke.

Viele Grüße,
Christian

PS: Falls jemand sonst noch ein CForum 3.4 betreibt, hier der zugehörige Patch, der das fixed: http://forum.de.selfhtml.org/tmp/cforum-3.4-xss.patch.