Potenzielle XSS-Lücke auf UserPage

  • Affected App
    WoltLab Suite Core

    Durch HTML in Usernamen wäre Cross-Site-Scripting in der Profilbesucher-Box möglich

    Hab durch Zufall eine Mögliche XSS-Lücke entdeckt, die aber wohl etwas schwierig auszunutzen ist, deswegen dürfte der Fehler wohl nicht sehr schwerwiegend sein. Also, wenn ein User in seinem Nickname HTML-Tags verwendet, werden die auf der UserPage in der Profilbesucher-Box ungefiltert ausgegeben. Möglich wäre es nun, dort Scripts einzuschleusen. Da aber einzelne »Wörter« dank UserUtil::isValidUsername() nicht länger als 20 Zeichen sein dürfen und auch die Gesamtlänge des Usernamen i.d.R. auf 25 beschränkt ist, halte ich es für fast unmöglich, dort wirklich Scriptcode auszuführen.
    Behoben werden sollte es natürlich trotzdem.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!