Blog

ilse-software.de – Admin dank XSS

Ilse Software Erlangen

Durch Zufall auf eine veraltete Version von Mantis (installiert: 1.0.6, aktuell: 1.2.11) aufmerksam geworden; Betreiber eine Mail mit der Lücke und URL-Shortener geschickt.

Es passiert, was passieren muß:
Betreiber klickt auf den Link, legt dank XSS-Lücke einen vordefinierten Admin-Account an, und der Vorgang wird auch artig per Email versandt.

Man hat umgehende Behebung der Problematik versprochen.
(wen wundert’s 😉

Aber auch hier gilt:
Information und Sensibilisierung aller Betroffenen, Änderung ALLER Kennwörter..