Erstellt: 07.12.2021
Im Rahmen eines Sicherheitsaudits für einen LiveConfig-Kunden entdeckte Dr. Arne Kersting von der mgm security partners GmbH eine sogenannte Stored XSS-Schwachstelle in LiveConfig. Kontaktdaten mit bösartigem Code wurden bei der Anzeige von Suchergebnissen nicht ausreichend maskiert (escaped).
LiveConfig maskiert alle Daten abhängig vom benötigten Ausgabeformat. Die Suchergebnisse werden im JSON-Format geladen und mittels JavaScript angezeigt. In diesem Fall wurden die JSON-Nutzdaten aber nicht separat übertragen, sondern waren in die HTML-Seite eingebettet (um einmal “Round-Trip-Time” einzusparen). Allerdings waren diese Nutzdaten nicht zusätzlich HTML/XML-maskiert, so dass ein XSS-Angriff möglich war.
Nur Administratoren und Wiederverkäufer können die Kontaktdaten eines Kunden bearbeiten. Auch wurden die nicht ausreichend maskierten Suchergebnisse lediglich dem Administrator/Wiederverkäufer angezeigt, der direkter “Besitzer” des jeweiligen Kontaktes ist.
Wir schätzen deshalb die Auswirkung eines möglichen XSS-Angriffs als gering ein, da es weder Endkunden möglich war bösartigen Code einzufügen, noch andere Ebenen außerhalb des direkten Objektbesitzers betroffen waren.
Wir möchten Dr. Arne Kersting (mgm security partners GmbH) für die verantwortungsvolle Veröffentlichung des entdeckten Sicherheitsproblems sowie für die freundliche und offene Kommunikation danken.
3ffe1352
)