Autor Thema: jquery.min.js XSS Schwachstellen  (Gelesen 369 mal)

Offline ToKa

  • Sr. Member
  • ****
  • Beiträge: 679
jquery.min.js XSS Schwachstellen
« am: 06 August 2021, 19:33:56 »
Hallo zusammen,

ich habe heute mal in meinem Netzwerk eine Schwachstellenscanner laufen lassen. Der hat für die Datei fhem/pgm2/jquery.min.js ergeben, dass die installierte Version 1.11.2 mehrere cross site scripting Schwachstellen aufweist.

Das lässt sich mit einer Version 3.5.0 oder neuer beheben.

Wäre es nicht am besten, die Datei per fhem Update auszutauschen?

Viele Grüße
Torsten
RaspberryPi3 mit RaZberry2
Fibaro: FGWPE/F-101 Switch & FIBARO System FGWPE/F Wall Plug Gen5, FGSD002 Smoke Sensor
GreenWave: PowerNode 1 port
EUROtronic: SPIRIT Wall Radiator Thermostat Valve Control
Zipato Bulb 2

Offline rudolfkoenig

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 24474
Antw:jquery.min.js XSS Schwachstellen
« Antwort #1 am: 06 August 2021, 19:56:23 »
Ein Austausch ist nicht unproblematisch, vmtl. funktioniert danach Etliches nicht mehr, und muss nach und nach korrigiert werden.

Und eigentlich(TM) wollte ich jquery nicht mehr verteilen, sondern diese Installation an dem Endanwender delegieren (gerne automatisiert). Womoeglich koennte das beschriebene Problem mich dazu motivieren.

Betreffen uns die gefundenen Schwachstellen konkret, oder ist das eine theoretische Betrachtung?

Offline ToKa

  • Sr. Member
  • ****
  • Beiträge: 679
Antw:jquery.min.js XSS Schwachstellen
« Antwort #2 am: 06 August 2021, 21:50:46 »
Bin gerade nicht am Rechner, mit dem ich den Scan gemacht habe. Der Scanner liefert weitere Hinweis, aber beim googlen findet man z.b. das

https://www.infoq.com/news/2020/04/jquery-35-xss-vulnerability-fix/

VG
Torsten
RaspberryPi3 mit RaZberry2
Fibaro: FGWPE/F-101 Switch & FIBARO System FGWPE/F Wall Plug Gen5, FGSD002 Smoke Sensor
GreenWave: PowerNode 1 port
EUROtronic: SPIRIT Wall Radiator Thermostat Valve Control
Zipato Bulb 2

Offline rudolfkoenig

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 24474
Antw:jquery.min.js XSS Schwachstellen
« Antwort #3 am: 07 August 2021, 09:37:03 »
Was Vergleichbares habe ich auch schon gelesen, das Problem bleibt aber fuer mich theoretisch. Falls jemand ein valides Angriffszenario beschreiben kann, bitte melden.

FHEMWEB ist nicht der typische XSS Angriffsziel, da es im Normalfall nicht fuer Angreifer offen ist.  Als Beispiel kann ich mir eine eingeschraenkte FHEMWEB Oberflaeche vorstellen (z.Bsp. fuer Gaeste), wo ein Gast dank XSS was kaputtmacht, indem er kompromittierte Daten eingibt. Wenn man aber was eingeben kann, dann braucht man um XSS keine Sorgen zu machen.

P.S.: XSS ist nicht mit CSRF zu verwechseln.

Offline ToKa

  • Sr. Member
  • ****
  • Beiträge: 679
Antw:jquery.min.js XSS Schwachstellen
« Antwort #4 am: 08 August 2021, 12:48:07 »
Hallo Rudi,

hier mal noch der Link des Scanners mit den Informationen zum Exploit
https://www.tenable.com/plugins/nessus/136929

VG
Torsten
RaspberryPi3 mit RaZberry2
Fibaro: FGWPE/F-101 Switch & FIBARO System FGWPE/F Wall Plug Gen5, FGSD002 Smoke Sensor
GreenWave: PowerNode 1 port
EUROtronic: SPIRIT Wall Radiator Thermostat Valve Control
Zipato Bulb 2

Offline rudolfkoenig

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 24474
Antw:jquery.min.js XSS Schwachstellen
« Antwort #5 am: 08 August 2021, 14:53:49 »
Danke, ich habe sie gelesen (und auch andere Beschreibungen), mir fehlt aber noch die Fantasie, inwieweit das fuer FHEM Benutzer zu einem konkreten Problem werden kann.
Das heisst nicht, dass ich mich gegen ein Upgrade sperre, nur die Dringlichkeit ist fuer mich nicht so hoch. Gerade wenn ich an das Testen und Fixen der Erweiterungen/Frontends denke, die nicht mehr aktiv gepflegt werden :)