XSS Sicherheitslücken #511

ssrahn · 2021-07-26T16:35:40Z

Rich-Text-Editor
- zB im Forum beim Verfassen von Einträgen
- Über "OpenCast-Video" Knopf lässt sich Video hinzufügen
- Dialog ist XSS anfällig
- Beim Namen der Aufzeichnung und der Serie
clear_series_action in admin/controller
- Serien-Titel werden ungefiltert ausgegeben
remove_episode_action
- Aufzeichnungen anderer Veranstaltung können womöglich auch gelöscht werden
- Berechtigung wird nur für Serie und nicht für Aufzeichnung geprüft
"Aufzeichnung planen"
- Gibt bei "Titel" das im Ablaufplan hinterlegte Thema ungefiltert aus
"Medien hochladen"
- Gibt den eigenen Namen ungefiltert aus
- steht im value-Attribut eines inputs, das man mit ">" erst mal verlassen muss und dann kann man ein Skript platzieren
Möglicherweise werden Workflownamen und Capture-Agent-Namen ungefiltert ausgegeben

tgloeggl · 2021-09-30T09:42:07Z

Im embed-Dialog könnte es noch Lücken geben

ssrahn mentioned this issue Jul 31, 2021

fix XSS vulnerability #514

Merged

7 tasks

tgloeggl linked a pull request Aug 10, 2021 that will close this issue

fix XSS vulnerability #514

Merged

7 tasks

tgloeggl closed this as completed in #514 Aug 10, 2021

tgloeggl reopened this Aug 10, 2021

tgloeggl added this to the Opencast >2.5 milestone Mar 21, 2022

tgloeggl added this to Pool in SOP V3 Mar 21, 2022

tgloeggl removed this from Pool in SOP V3 Jan 2, 2023

tgloeggl closed this as completed Feb 24, 2023

Provide feedback