Eine Schwachstelle in einer Bibliothek kann von Angreifern für Cross-Site-Scripting-Attacken (XSS) ausgenutzt werden.
In der Bibliothek CSSTidy wurde eine XSS-Lücke entdeckt. Diese externe Bibliothek wird von ImpressCMS verwendet. Die betroffene Datei wird zwar von ImpressCMS gar nicht genutzt, kann aber dennoch die Sicherheit des Content-Management-Systems gefährden. Angreifer können durch die Schwachstelle Javascript-Code einschleusen und ausführen.
Um die Cross-Site-Scripting-Gefahr zu bannen, steht ein Update auf ImpressCMS 1.2.2 zur Verfügung. Alternativ können Anwender auch einfach die betroffene Datei löschen. Dies ist für vorhandene Installationen sogar die empfohlene Prozedur. Die Datei ist im Verzeichnis plugins/csstidy zu finden und heißt css_optimiser.php. (jp)
Die Fachzeitschrift web-developer liefert jeden Monat praktisches Wissen für professionelle Entwickler von Web-Anwendungen und Rich Internet Applications (RIA). Weitere Schwerpunkte sind Datenbankapplikationen, PHP und JavaScript. web-developer liefert Wissen für Entwickler von Web-Applikationen, für Content und Online-Manager, Agenturen und Webmaster.
