Diese Tage hat Stefan Friedli, Security Researcher der scip AG, zwei Schwachstellen in populären Produkten publik gemacht. Durch eine Header-Injection Schwachstelle können erweiterte Zugriffsrechte bei Dropbox erlangt und durch eine Script-Injection Schwachstelle beliebiger Code bei ManageEngine Password Manager ausgeführt werden. Die Hersteller wurden informiert und reagieren mit Patches.

• scip Advisory: PasswordManager Pro 6.1 Script Injection Vulnerability
• Labs: Dropbox.com – Probleme mit HTTP Header Injection
• English: Details on the Dropbox.com HTTP Header Injection Vulnerability

Links

• http://twitter.com/stfn42
• http://www.scip.ch/?labs.20091214
• http://www.scip.ch/?vuldb.4063
• https://www.scip.ch/publikationen/advisories/scip_advisory-4063_manageengine_pmp_script_injection.txt

Tags