2016-2112: Bottle: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2016-12-21 17:17)

Neues Advisory

Version 2 (2018-01-10 17:16)

Für Fedora 26 und 27 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates für Bottle auf Version 0.12.13 bereit, mit denen die Schwachstelle behoben wird. Die Sicherheitsupdates für Fedora EPEL 6 und 7 befinden sich im Status 'testing', während die anderen derzeit noch den Status 'pending' haben.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann einen Cross-Site-Scripting-Angriff in Webanwendungen, die auf Bottle aufsetzen, ausführen, falls von ihm kontrollierte Inhalte in der Anwendung an die Funktion 'redirect' weitergegeben werden.

Debian stellt für die stabile Distribution Debian Jessie sowie für Debian Stretch (testing) Sicherheitsupdates bereit.

Schwachstellen:

CVE-2016-9964

Schwachstelle in Bottle ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.