OpenCMS-Lücke erlaubt CS-Scripting

Das freie Content-Management-System OpenCMS hat eine Sicherheitslücke, die dazu führen kann, dass Angreifer an persönliche Informationen auf einem angegriffenen Rechner gelangen oder sie modifizieren oder dass sie auf der Maschine fremden Code ausführen. Hintergrund ist, dass viele Skripte, die OpenCMs verwendet, die Eingaben der Anwender nicht hinreichend prüfen. So können speziell erstellte URLs Code auf einen angegriffenen Rechner einschleusen. Der Code läuft dann mit den Rechten der Seite, auf der die OpenCMS-Software läuft. Das bedeutet, dass auf betroffenen Systemen beispielsweise Cookies - gegebenenfalls auch mit Authentifizierungsdaten - ausgelesen oder verändert werden können. Wie der Sicherheitsnachrichtendienst Securitytracker berichtet, gibt es für das Problem bislang keine Lösung von Seiten der Entwickler.