Newsletter heise-Bot heise-Bot

CSRF-Lücke in TWiki geschlossen

Mit manipulierten Image-Tags soll es möglich sein, TWiki-Skripte aufzurufen. Ein Opfer könnte mit eigenen vorgegebenen Inhalten bestimmte Seiten im Kontext des Opfers aktualisieren.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.
Security
Von
  • Daniel Bachfeld

Die Entwickler des Wiki-Systems TWiki haben Version 4.3.1 veröffentlicht, um eine Cross-Site-Request-Forgery-Lücke zu schließen. Laut Beschreibung soll es mit manipulierten Image-Tags möglich sein, TWiki-Skripte aufzurufen. Ein Opfer könnte mit eigenen vorgegebenen Inhalten bestimmte Seiten im Kontext des Opfers aktualisieren. Dazu muss das Opfer nur eine präparierte Seite im Wiki betrachten. Laut Bericht soll es auf diesem Wege sogar möglich sein, an Administratorrechte zu gelangen.

Sofern ein Update auf Version 4.3.1 nicht möglich ist, soll ein Minimal-Patch der Entwickler das Problem unter 4.2.x und 4.3.0 eindämmen. Durch die Behebung der Schwachstelle arbeitet TWiki aber künftig etwas anders, sodass sich Seiten nicht mehr mittels HTTP GET speichern oder aktualisieren lassen. Künftig benötigt man dazu die POST-Methode.

Siehe dazu auch:

(dab)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot