Forum

Forum feed

» zum Forum | » aktuelle Diskussionen

Zikula Nachrichten

RSS Feed

Zikula Core 1.3.6 (Security Release)

Am 6. November 2013 wurde der Zikula Core in der Version 1.3.6 veröffentlicht. Dies ist ein reines Security Release für die 1.3.x Serie des Cores. Allen Anwendern der Versionen 1.3.0 - 1.3.5 wird eine Aktualisierung so schnell wie möglich empfohlen. Die Version 1.2.9 ist offenbar nicht betroffen. Dieses Release enthält keine anderen Bugfixes oder Features gegenüber dem 1.3.5 Core.

Installation/Upgrade (von Core 1.3.5): da es in diesem Release keine Datenbankänderungen gibt, müssen lediglich die Dateien in der aktuellen Installation mit den neuen Dateien überschrieben werden.

Download:
ZIP Paket
TGZ Paket
Checksummen

Das Release, welches ursprünglich zur Version 1.3.6 werden sollte, wurde in 1.3.7 umbenannt und noch nicht veröffentlicht. Core-Abhängigkeiten von in der Entwicklung befindlichen Modulen sind bitte entsprechend anzupassen.


High-Tech Bridge Security Research Lab has discovered a security vulnerability in your product - Zikula Application Framework.

===============================================================

Advisory ID: HTB23178
Reference: https://www.htbridge.com/advisory/HTB23178
Product: Zikula Application Framework
Vendor: Zikula Software Foundation ( http://zikula.org )
Vulnerable Version(s): 1.3.5 build 20 and probably prior
Tested Version: 1.3.5 build 20
Vulnerability Type: Cross-Site Scripting [CWE-79]
Risk Level: Medium

Advisory Details:

High-Tech Bridge Security Research Lab discovered vulnerability in Zikula Application Framework, which can be exploited to perform Cross-Site Scripting (XSS) attacks.

1) Cross-Site Scripting (XSS) in Zikula Application Framework

1.1 The vulnerability exists due to insufficient sanitisation of user-supplied data in "returnpage" HTTP GET parameter passed to "/index.php" script. A remote attacker can trick a logged-in user to open a specially crafted link and execute arbitrary HTML and script code in browser in context of the vulnerable website.


 

Themen


Kommentare

  • Geschrieben am
  • 08. Jan 2014 - 09:21
Patch mit Zusatznutzen verfügbar

ich habe einmal ein paar nützliche Fehlerbereinigungen zusammengestellt. Die sind hierzu finden. Enthalten ist auch der Patch für das Upgrade von1.3.5 auf 1.3.6. Für den Umfang und die Upgradeanweisung lest euch die README.md bitte durch.

Nur angemeldete Benutzer dürfen kommentieren. Registrierung oder Anmeldung.