Wiki.js: Stored XSS durch Client-Side Template Injection

Table of Contents

Die kritische Sicherheitslücke CVE-2024-34710 in Wiki.js, einem Node.js basierten Wiki Framework, betrifft alle Versionen bis einschließlich 2.5.302 und wurde in der neuesten Version 2.5.303 behoben. Die Stored Cross-Site Scripting (XSS) durch Client-Side Template Injection Lücke, ermöglicht es Angreifern, bösartigen JavaScript-Code in den Inhaltsbereich von Webseiten einzuschleusen. Dieser Code wird ausgeführt, sobald ein Opfer die Seite lädt, die die schädliche Nutzlast enthält.

Der Ursprung der Schwachstelle liegt in der Art und Weise, wie Mustache-Ausdrücke verarbeitet werden. Die Entität-Escapierung der Mustache-Ausdrücke erfolgt vor der Anwendung des dom-purify-Moduls, das ungültige Tags entfernt. Nach der Entfernung der ungültigen Tags werden die Mustache-Ausdrücke jedoch nicht mehr escaped. Dadurch können Angreifer ungültige HTML-Tags zusammen mit einer Template-Injection-Nutzlast einfügen, die bei Ausführung schädlichen JavaScript-Code aktiviert.

Beispiel:

<xyzabcd>
{{constructor.constructor('alert(1)')()}}

Diese Schwachstelle hat erhebliche Auswirkungen auf die Sicherheit, insbesondere im Kontext von Single-Page-Applications (SPAs), die häufig auf JSON Web Tokens (JWT) und andere Authentifizierungscookies angewiesen sind. Wenn der HTTPOnly-Flag für diese Cookies nicht gesetzt ist, können sie durch JavaScript kompromittiert werden. Dies kann zur Übernahme von normalen und privilegierten Benutzerkonten führen. Darüber hinaus erlaubt die Schwachstelle einem Bedrohungsakteur, jeglichen JavaScript-Code im Browser des Opfers auszuführen, was nicht auf die Kompromittierung von Authentifizierungscookies beschränkt ist.

Die Sicherheitslücke wurde mit einer CVSS-Basisbewertung von 7.1 als hoch eingestuft. Die wichtigsten CVSS-Metriken sind:

  • Angriffsvektor: Netzwerk
  • Angriffskomplexität: Niedrig
  • Erforderliche Privilegien: Niedrig
  • Benutzerinteraktion: Keine
  • Vertraulichkeit: Hoch
  • Integrität: Niedrig
  • Verfügbarkeit: Keine

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N

Es wird dringend empfohlen, die betroffenen Systeme so schnell wie möglich auf die gepatchte Version 2.5.303 zu aktualisieren, um diese Sicherheitslücke zu schließen. Administratoren und Entwickler sollten zudem sicherstellen, dass alle Authentifizierungscookies mit dem HTTPOnly-Flag versehen sind, um eine mögliche Kompromittierung zu verhindern.

Related Posts

Hijacking von GitHub Runnern durch Ubuntu-Latest Tag

Im Mai 2024 hat das Forscherteam von Synacktiv eine Methode veröffentlicht, mit der Angreifer GitHub Runners hijacken können, um Organisationen zu kompromittieren. Durch die Registrierung eines selbst gehosteten Runners mit dem Tag ubuntu-latest kann ein Angreifer Zugriff auf Jobs erhalten, die ursprünglich für von GitHub bereitgestellte Runners vorgesehen waren. Dies ermöglicht die Kompromittierung von Workflows, das Stehlen von CI/CD-Geheimnissen und das Einschleusen von bösartigem Code in Repositories.

Read More

Remote Command Execution in Telesquare TLR-2005KSH Routern möglich

Eine kürzlich entdeckte Schwachstelle in den Telesquare TLR-2005KSH LTE-Routern, Versionen 1.0.0 und 1.1.4, ermöglicht es Angreifern, ohne Autorisierung Systembefehle auszuführen. Diese Schwachstelle CVE-2024-29269 betrifft Geräte des südkoreanischen Unternehmens Telesquare und kann durch die Nutzung des Cmd Parameters ausgenutzt werden.

Read More

Spyware pcTattletale auf Check-in-Computern von Hotels entdeckt

Eine Verbraucher-Spionage-App namens pcTattletale wurde auf Check-in-Systemen von mindestens drei Wyndham-Hotels in den USA entdeckt, wie TechCrunch berichtet. Die App, die unbemerkt im Hintergrund läuft, erfasst kontinuierlich Screenshots der Buchungssysteme der Hotels, die sensible Gästeinformationen enthalten. Aufgrund einer Sicherheitslücke in der Spyware sind diese Screenshots im Internet zugänglich. Laut dem Bericht sind mindestens drei Wyndham Hotels betroffen. Unklar ist, ob die Spyware absichtlich installiert wurde, oder von einem Angreifer auf die Systeme gebracht wurde. Denn Die App wird als “Mitarbeiter Monitoring System” vermarktet.

Read More