13.02.2020, 14:43
Das Forum wurde auf die aktuellste Version gebracht. Folgendes wurde behoben / hinzugefügt / geändert:
- Mittleres Risiko: CSS-Dateien können beim Theme-Import unter Windows überschrieben werden
- Mittleres Risiko: SQL-Injection im User-Datahandler
- Mittleres Risiko: SSRF-Schwachstelle in fetch_remote_file()
- Mittleres Risiko: Kurzschreibweise unter Windows erlaubt Zugriff auf Backups
- Niedriges Risiko: XSS-Schwachstelle im Admin-CP
- Niedriges Risiko: Ungenaue Vergleiche können zu falschen Ergebnisse führen
- Niedriges Risiko: Mögliche XSS-Schwachstelle in der Benutzer-Verwaltung im Admin-CP
- Niedriges Risiko: CSRF-Lücke beim Entfernen von Abonnements
- Hohes Risiko: XSS-Lücke im E-Mail-MyCode
- Mittleres Risiko: SSRF-Schutz lässt sich austricksen
- Niedriges Risiko: Directory Traversal im Smilie-Modul
- Mittleres Risiko: Unvollständige Prüfung der Berechtigungen beim Multi-Zitieren
- Mittleres Risiko: Macro-Injection beim CSV-Export von PNs
- Niedriges Risiko: Schwache Passwort-Reset-Codes
- Hohes Risiko: Mögliche Remote-Code-Execution während der Installation
- Hohes Risiko: Mögliche Remote-Code-Execution bei Sprachdateien
- Mittleres Risiko: XSS-Lücke bei der Installation
- Mittleres Risiko: XSS-Lücke beim Bearbeiten von Profilen im Mod-CP
- Niedriges Risiko: Ungenügende Rechte-Prüfung bei verzögerter Moderation
- Niedriges Risiko: Ungenügender HTML-Filter bei Ankündigungen
- Niedriges Risiko: XSS-Lücke beim Bearbeiten von Sprachdateien
- Hohes Risiko: Language file headers RCE
- Mittleres Risiko: Language Pack Properties XSS
- Mittleres Risiko: Einbinden von lokalen Dateien beim Aufgaben-System
- Mittleres Risiko: Ungenügende Prüfung des Foren-Passworts
- Niedriges Risiko: XSS-Lücke bei Gruppentiteln im ACP
- Niedriges Risiko: XSS-Lücke bei Attachment-Typen
- Niedriges Risiko: XSS-Lücke bei Moderations-Tools
- Niedriges Risiko: XSS-Lücke bei Sicherheitsfragen
- Niedriges Risiko: XSS-Lücke bei Einstellungen
- Niedriges Risiko: XSS-Lücke bei Template-Namen
- Niedriges Risiko: XSS-Lücke bei Benutzergruppen-Beförderungen
- Niedriges Risiko: XSS-Lücke bei Warnungstypen
- Hohes Risiko: XSS-Lücke beim MyCode
- Mittleres Risiko: XSS-Lücke bei der Seitenzahl-Anzeige
- Niedriges Risiko: XSS-Lücke bei den Admin-Logs
- Niedriges Risiko: Dateilöschung bei Einstellungen im Admin-CP
- Niedriges Risiko: CSRF-Lücke beim Login
- Niedriges Risiko: Einbettung von Nicht-Video-Inhalten per Video-MyCode
- Hohes Risiko: XSS-Lücke beim img-MyCode
- Mittleres Risiko: XSS-Lücke im Atom-Feed
- Hohes Risiko: SQL-Injection bei der E-Mail-Adresse
- Mittleres Risiko: XSS-Lücke im BBCode-Editor
- Niedriges Risiko: Ungenügende Sicherheitsprüfung bei der Attachment-Verwaltung
- Niedriges Risiko: Fehlerhafte E-Mail-Validierung
- Mittleres Risiko: XSS-Lücke beim Zurücksetzen des Passworts
- Mittleres Risiko: XSS-Lücke im Mod-CP
- Niedriges Risiko: Schwache CSRF-Schlüssel für Gäste
- Niedriges Risiko: XSS-Lücke bei Stylesheets im Admin-CP
- Niedriges Risiko: Problem beim Zurücksetzen des Passworts per E-Mail
- Hohes Risiko: RCE-Lücke beim Import von Themes
- Hohes Risiko: XSS-Lücke bei verschachtelten MyCodes
- Mittleres Risiko: XSS-Lücke bei verwaisten Attachments
- Mittleres Risiko: XSS-Lücke beim Bearbeiten von Beiträgen
- Mittleres Risiko: SQL-Injection bei PN-Ordnern
- Niedriges Risiko: Phar Deserialization beim Upload-Pfad
- Hohes Risiko: RCE-Lücke bei der Installations-Routine
- Mittleres Risiko: RCE-Lücke bei Upload-Pfaden
- Mittleres Risiko: XSS-Lücke bei Blog-Feed und Erweiterungen
- Niedriges Risiko: Offene Weiterleitung beim Login
- Niedriges Risiko: XSS-Lücke im SCEditor