Freies Admin-Panel: Codeschmuggel durch Cross-Site-Scripting in Froxlor
Dank schludriger Eingabefilterung können Angreifer ohne Anmeldung Javascript im Browser des Server-Admins ausführen. Ein Patch steht bereit.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Im freien Server-Adminpanel Froxlor klafft eine Sicherheitslücke, die Angreifern unter Umständen die Übernahme des Servers gestattet. Ausgerechnet in der Anzeigefunktion für fehlgeschlagene Login-Versuche können Javascript-Versierte eigene Skripte unterbringen, die dann vom Browser des Server-Admins ausgeführt werden. Wie einer der Entwickler nachstellen konnte, können auf diese Weise auch gefälschte Administrator-Konten angelegt werden.
Entsprechend dieser möglichen Auswirkungen schätzt das Froxlor-Team die Lücke als kritisch ein, vergibt einen CVSS-Punktwert von 9,7 und hat die CVE-ID CVE-2024-34070 erhalten. Er betrifft alle Froxlor-Versionen vor 2.1.9; in dieser Version ist das Problem behoben.
Auch die vom Froxlor-Team in einem eigenen Repository bereitgestellten Debian- und Ubuntu-Pakete sind bereits auf dem neuesten Stand. Administratoren, die Froxlor verwenden, sollten schnell patchen, um sich keinem unnötigen Risiko auszusetzen.
XSS trotz Anti-XSS
In einem Sicherheitshinweis auf GitHub äußern die Entwickler sich detailliert zu dem Fehler und wie er zustande kam: So nutzt Froxlor zwar mit "anti-xss" eine externe Bibliothek für die Filterung von Nutzereingaben, diese ließ sich jedoch mittels eines speziell konstruierten Javascript-Blocks überlisten.
Froxlor dient zur bequemen webbasierten Administration von Linux-Servern und hat Funktionen, die kleine Webhoster oder Agenturen zur Vermietung von Hosting-Konten nutzen können. Die Software ist ein Fork des mittlerweile eingestellten Projekts SysCP und versteht sich als freie Alternative zu kommerziellen Lösungen wie Plesk. Vor beinahe 10 Jahren hatte Froxlor die letzte schwere Sicherheitslücke: Angreifer konnten aus der Ferne Datenbankpasswörter auslesen.
(cku)
