[Kitodo] Sicherheitslücke in Kitodo.Presentation

Liebe Kolleginnen und Kollegen, durch die Meldung auf der offenen Bug-Plattform „Open Bug Bounty“ [1] wurden wir auf eine Cross-Site Scripting (XSS)-Sicherheitslücke in Kitodo.Presentation aufmerksam gemacht. Die Sicherheitslücke besteht in allen Versionen bis einschließlich 3.1.0 auf allen Seiten, auf denen eines der Plugins „ListView“, „Navigation“ und/oder „PageView“ eingesetzt wird. Durch die Sicherheitslücke können Angreifer fingierte Links auf diese Seiten verbreiten, deren URL-Parameter Schadcode enthalten. Klickt ein Nutzer auf einen dieser Links, so wird der Schadcode mit der Seite ausgeliefert und im Browser des Nutzers ausgeführt. Dadurch können etwa böswillige Inhalte innerhalb der Seite angezeigt oder auch Browser-Daten des Nutzers abgefragt werden. Der Schadcode agiert dabei mit den Rechten des Nutzers, kann also unter Umständen auch auf geschützte Bereiche Ihrer Webseite zugreifen, sofern sie eine Nutzeranmeldung ermöglichen und der Nutzer zum Zeitpunkt des Seitenbesuchs eingeloggt ist. Soeben wurde Version 3.1.1 auf GitHub [2], im TYPO3 Extension Repository [3] und auf Packagist [4] veröffentlicht. Diese Version schließt den XSS-Angriffsvektor, ist ansonsten aber identisch zu Version 3.1.0. Ein Update wird dringend empfohlen! Auch die Versionen 2.x sind von der Lücke betroffen. Für diese Version stellen wir in Kürze ebenfalls eine Fehlerbehebung bereit. Viele Grüße Sebastian Meyer [1] https://www.openbugbounty.org/reports/1219978/ [2] https://github.com/kitodo/kitodo-presentation/releases/tag/v3.1.1 [3] https://extensions.typo3.org/extension/dlf/ [4] https://packagist.org/packages/kitodo/presentation -- Sebastian Meyer Stabsstelle Digitale Bibliothek Sächsische Landesbibliothek – Staats- und Universitätsbibliothek Dresden (SLUB) Abteilung IT, Referat 2.1 Digitale Bibliothek 01054 Dresden Besucheradresse: Zellescher Weg 18, 01069 Dresden Telefon: +49 351 4677-206 Mobilfunk: +49 173 9615528