Anlass
XSS Attack-Vektor in mwstake/mediawiki-component-commonuserinterface.
Berwertung der Schwachstellen in BlueSpice
Der Wert des 'title' /Parameters wird unbereinigt ausgegeben (z.B. in 'list-group-item').
Patch Release 4.1.3 enthält einen wichtigen Sicherheitsfix für eine “reflektierte XSS” Attacke.
Der entsprechende CVE-Eintrag steht noch aus und wird in Kürze veröffentlicht. Es wird dringend empfohlen, dass alle Benutzer ihre Installation von BlueSpice 4 so schnell wie möglich aktualisieren.