Sicherheitslücke in xenForo

[Domhmhmhmhmh]

Nur 'ne Frage nebenbei:
Wie ist es möglich so ein Skript einfach so einzuschleusen?

@Exa_Byte und alle anderen die da schlauer sind als ich... ^^

 

[Paatric]

Dadurch könnte es durchaus sein, dass Accountdaten von Forenusern womöglich abgefangen wurden, die sich zwischen gestern ~11:30 Uhr und heute ~17:30 Uhr eingeloggt haben.

Was ist wenn man dauer online ist also man sich nicht mehr anmelden muss?

 

[DerEisbaer]

Danke für die Warnung.. Nur dumm das das Passwort mein Lieblings-Passwort ist :/ Und das habe ich bei vielen Sachen Außer bei meinem Minecraft-Account

 

[DanNick]

Danke für den Hinweis! Zum Glück nutze ich mein Foren-Passwort nirgendwo anders

 

[trauma_iwnl_]

Danke für den Hinweis! Zum Glück nutze ich mein Foren-Passwort nirgendwo anders

Freu dich und back dir n' keks!

 

[Error204]

Gilt das auch wenn das Forum nur offen war?

 

[Exa_Byte]

Nur 'ne Frage nebenbei:
Wie ist es möglich so ein Skript einfach so einzuschleusen?

@Exa_Byte und alle anderen die da schlauer sind als ich... ^^

Das kommt immer drauf an welche Sicherheitslücken vorhanden sind oder welche Fehler passiert sind.
2 Beispiele:
1. Angreifer ist an das Passwort für den Server gekommen und konnte somit den Code verändern
2. Es ist eine Sicherheitslücke vorhanden. In diesem Fall war eine Lücke in der xenForo Software vorhanden, die ausgenutzt wurde.
Eine HTML-Injection wäre eine Möglichkeit: https://www.owasp.org/index.php/Testing_for_HTML_Injection_(OTG-CLIENT-003)

MfG
ExaByte

 

[RebbitLP]

Euer Ernst??
Was war der Fehler im Forum??

 

[Fluentox]

Danke für die Info

 

[Gelöschtes Mitglied 9828]

ich hab mich ewig nicht neu eingeloggt - sind solche Accounts auch betroffen @geNAZt ?
und danke für die Warnung - Andere hätten das alles heruntergespielt.

 

[Fluentox]

ich hab mich ewig nicht neu eingeloggt - sind solche Accounts auch betroffen @geNAZt ?
und danke für die Warnung - Andere hätten das alles heruntergespielt.

Gut Möglich. :/

Dadurch könnte es durchaus sein, dass Accountdaten von Forenusern womöglich abgefangen wurden, die sich zwischen gestern ~11:30 Uhr und heute ~17:30 Uhr eingeloggt haben.

Daher empfehlen wir ALLEN Usern ihre Passwörter in ALLEN Accounts zu ändern

 

[buuddyyy]

Danke für die Info

 

[Diantina]

Erstmals Danke für die Warnung @geNAZt und hab mein Passwort schnell wie möglich geändert.

 

[wwJH_DAvh4KPqIDCrxULx-LN]

Trifft das nur User, die ihre Daten in der Anmeldemaske angegeben haben und sich quasi manuell eingeloggt haben oder auch schon eingeloggte User?

 

[Deleted member 16202]

Gut, dass ihr es bemerkt habt

@Ich05 und ich haben da, glaube ich, teilweise geholfen? .__.

Ohne dich hätte ich da nie weiter gesucht

-- Und was hat dieser Link im Quellcode zu suchen? https://u1x.xyz/h.js - https://u1x.xyz/

Ein Beitrag vom 26. Januar. Da kam er anscheinend bereits vor.

 

[AgentNAVI]

Das man einen Forumaccount fast gleich schützen sollte wie ein E-Banking Account ist iwie besorgniserregend.

 

[PansexualPan]

Nur 'ne Frage nebenbei:
Wie ist es möglich so ein Skript einfach so einzuschleusen?

@Exa_Byte und alle anderen die da schlauer sind als ich... ^^

Um ehrlich zu sein, so schwer kann es garnicht sein.
Es gibt auch ganz kleine Lücken, die zum Beispiel die Banumgehung ohne irgendwie große Arbeit ermöglichen würden.
#MCLUCKYNETWORKFORUMXENFOROERFAHRUNGFTW

 

[DerZockerjan]

Finde ich jetzt nicht so toll, dankeschön, naja egal.Muss ja nur auf 14 plattformen und 4 Websiten meine Passwörter ändern...

 

[Maxthat]

Ich frag noch mal nach einer kleinen Klarstellung:
Es wurde also der reine Loginvorgang mitgeschnitten, die Datenbank war zu keinem Zeitpunkt auch nur ansatzweise betroffen?
Und der Zeitraum ist definitiv, garantiert, von gestern 11:30 bis heute 17:30 festzulegen?
(was dann bedeutet, dass Leute die das Loginformular in diesem Zeitraum NIE ausgefüllt haben, komplett sicher sind, korrekt?)
Max

 

[Luuther]

Betrifft das nur den forum acc oder auch den mc acc?