CVE-2021-40840 - Stored XSS

Erstellt: 07.12.2021

Übersicht

Im Rahmen eines Sicherheitsaudits für einen LiveConfig-Kunden entdeckte Dr. Arne Kersting von der mgm security partners GmbH eine sogenannte Stored XSS-Schwachstelle in LiveConfig. Kontaktdaten mit bösartigem Code wurden bei der Anzeige von Suchergebnissen nicht ausreichend maskiert (escaped).

Ursache

LiveConfig maskiert alle Daten abhängig vom benötigten Ausgabeformat. Die Suchergebnisse werden im JSON-Format geladen und mittels JavaScript angezeigt. In diesem Fall wurden die JSON-Nutzdaten aber nicht separat übertragen, sondern waren in die HTML-Seite eingebettet (um einmal “Round-Trip-Time” einzusparen). Allerdings waren diese Nutzdaten nicht zusätzlich HTML/XML-maskiert, so dass ein XSS-Angriff möglich war.

Risiko

Nur Administratoren und Wiederverkäufer können die Kontaktdaten eines Kunden bearbeiten. Auch wurden die nicht ausreichend maskierten Suchergebnisse lediglich dem Administrator/Wiederverkäufer angezeigt, der direkter “Besitzer” des jeweiligen Kontaktes ist.

Wir schätzen deshalb die Auswirkung eines möglichen XSS-Angriffs als gering ein, da es weder Endkunden möglich war bösartigen Code einzufügen, noch andere Ebenen außerhalb des direkten Objektbesitzers betroffen waren.

Danksagung

Wir möchten Dr. Arne Kersting (mgm security partners GmbH) für die verantwortungsvolle Veröffentlichung des entdeckten Sicherheitsproblems sowie für die freundliche und offene Kommunikation danken.

• gemeldet: 09.09.2021 18:09 GMT+2
• behoben: 10.09.2021 10:41 GMT+2 (commit 3ffe1352)
• betroffene Versionen: bis v2.12.2
• behoben in: v2.12.3 / v2.13.0