- Affected App
- WoltLab Suite Core
Durch HTML in Usernamen wäre Cross-Site-Scripting in der Profilbesucher-Box möglich
Hab durch Zufall eine Mögliche XSS-Lücke entdeckt, die aber wohl etwas schwierig auszunutzen ist, deswegen dürfte der Fehler wohl nicht sehr schwerwiegend sein. Also, wenn ein User in seinem Nickname HTML-Tags verwendet, werden die auf der UserPage in der Profilbesucher-Box ungefiltert ausgegeben. Möglich wäre es nun, dort Scripts einzuschleusen. Da aber einzelne »Wörter« dank UserUtil::isValidUsername() nicht länger als 20 Zeichen sein dürfen und auch die Gesamtlänge des Usernamen i.d.R. auf 25 beschränkt ist, halte ich es für fast unmöglich, dort wirklich Scriptcode auszuführen.
Behoben werden sollte es natürlich trotzdem.