01111: XSS vulnerability in attribute-page

Summary: XSS vulnerability in attribute-page
Created: 2009-07-10 23:37
Status: Closed for 2.2.3
Category: Bug
Priority: 2
Version: 2.2.2
OS: Win32/Apache2.2/PHP5.2

Description: <Babelfish>

Another XSS vulnerability I have found in the attribute page: (action=attr)
Normally all passwords are encrypted, but if you have a '@' before the password is, then it is transferred in clear text.
So you can for example @<Script>alert('XSS')</script> register.
Whitespaces are being intercepted, but can with JavaScript coded ...
Since the attribute-only page usually for administrators is released, the vulnerability is not so bad ...
This bug has been PmWiki 2.1.beta12 up to the latest version 2.2.2 available.
PS: After how many XSS-vulnerabilities to get a cookie? ;-)



Wer suchet der findet...
Eine weitere XSS-Schwachstelle habe ich in der Attribut-Seite gefunden: (action=attr)
Normalerweise werden alle Kennwörter Verschlüsselt, aber wenn man ein '@' vor dem Kennwort setzt, dann wird es in Klartext übernommen.
Man kann also zum Beispiel @<script>alert('XSS')</script> eintragen.
Whitespaces werden zwar abgefangen, aber können mit JavaScript kodiert werden...
Da die Attribut-Seite normalerweise nur für Administratoren freigegeben ist, ist die Schwachstelle nicht so schlimm...
Beispiel auf: http://mengelke.mine.nu/pmwiki/pmwiki.php?n=Test.AttrXSS (Kennwort ist: secret)
Dieser Bug ist seit PmWiki 2.1.beta12 bis zur aktuellen Version 2.2.2 vorhanden.
PS: Nach wievielen XSS-Schwachstellen bekommt man einen Keks? ;-)


Keks (cake). Photo by Piotrus released under CC-BY-SA, source http://commons.wikimedia.org/wiki/File:Keks_(cake).JPG

This will be fixed for 2.2.3. Thanks again for your reports! --Petko July 11, 2009, at 04:41 AM

I have tested with version 2.2.3 and the vulnerability is still available!
Small Notes on XLPage: It will not "named entities" more allowed: For example: (Edit Section &#x2193;) Michael Engelke July 16, 2009, at 06:06 AM

Thanks for the feedback: the 2.2.4 version, just released, fixes these two bugs. See 01114#discussion about the bug in XLPage. --Petko July 16, 2009, at 05:43 PM