FHEM Forum

FHEM => Frontends => FHEMWEB => Thema gestartet von: ToKa am 06 August 2021, 19:33:56

Titel: jquery.min.js XSS Schwachstellen
Beitrag von: ToKa am 06 August 2021, 19:33:56

Hallo zusammen,

ich habe heute mal in meinem Netzwerk eine Schwachstellenscanner laufen lassen. Der hat für die Datei fhem/pgm2/jquery.min.js ergeben, dass die installierte Version 1.11.2 mehrere cross site scripting Schwachstellen aufweist.

Das lässt sich mit einer Version 3.5.0 oder neuer beheben.

Wäre es nicht am besten, die Datei per fhem Update auszutauschen?

Viele Grüße
Torsten

Titel: Antw:jquery.min.js XSS Schwachstellen
Beitrag von: rudolfkoenig am 06 August 2021, 19:56:23

Ein Austausch ist nicht unproblematisch, vmtl. funktioniert danach Etliches nicht mehr, und muss nach und nach korrigiert werden.

Und eigentlich(TM) wollte ich jquery nicht mehr verteilen, sondern diese Installation an dem Endanwender delegieren (gerne automatisiert). Womoeglich koennte das beschriebene Problem mich dazu motivieren.

Betreffen uns die gefundenen Schwachstellen konkret, oder ist das eine theoretische Betrachtung?

Titel: Antw:jquery.min.js XSS Schwachstellen
Beitrag von: ToKa am 06 August 2021, 21:50:46

Bin gerade nicht am Rechner, mit dem ich den Scan gemacht habe. Der Scanner liefert weitere Hinweis, aber beim googlen findet man z.b. das

https://www.infoq.com/news/2020/04/jquery-35-xss-vulnerability-fix/ (https://www.infoq.com/news/2020/04/jquery-35-xss-vulnerability-fix/)

VG
Torsten

Titel: Antw:jquery.min.js XSS Schwachstellen
Beitrag von: rudolfkoenig am 07 August 2021, 09:37:03

Was Vergleichbares habe ich auch schon gelesen, das Problem bleibt aber fuer mich theoretisch. Falls jemand ein valides Angriffszenario beschreiben kann, bitte melden.

FHEMWEB ist nicht der typische XSS Angriffsziel, da es im Normalfall nicht fuer Angreifer offen ist.  Als Beispiel kann ich mir eine eingeschraenkte FHEMWEB Oberflaeche vorstellen (z.Bsp. fuer Gaeste), wo ein Gast dank XSS was kaputtmacht, indem er kompromittierte Daten eingibt. Wenn man aber was eingeben kann, dann braucht man um XSS keine Sorgen zu machen.

P.S.: XSS ist nicht mit CSRF zu verwechseln.

Titel: Antw:jquery.min.js XSS Schwachstellen
Beitrag von: ToKa am 08 August 2021, 12:48:07

Hallo Rudi,

hier mal noch der Link des Scanners mit den Informationen zum Exploit
https://www.tenable.com/plugins/nessus/136929 (https://www.tenable.com/plugins/nessus/136929)

VG
Torsten

Titel: Antw:jquery.min.js XSS Schwachstellen
Beitrag von: rudolfkoenig am 08 August 2021, 14:53:49

Danke, ich habe sie gelesen (und auch andere Beschreibungen), mir fehlt aber noch die Fantasie, inwieweit das fuer FHEM Benutzer zu einem konkreten Problem werden kann.
Das heisst nicht, dass ich mich gegen ein Upgrade sperre, nur die Dringlichkeit ist fuer mich nicht so hoch. Gerade wenn ich an das Testen und Fixen der Erweiterungen/Frontends denke, die nicht mehr aktiv gepflegt werden :)