Sicherheitslücke - Möglichkeit von Cross-Site-Scripting/XSS

[eumel1602]

Vielen Dank für die Board E-Mail !! und die Verlinkung hier her!

wenn ich die init.php aus dem patch vom Dezember nehme, mit dem neuen code überschreibe, kommt beim öffnen einer Spielklasse (LMO Admin bereich) folgender Fehler auf einer weißen Seite:

XSS-Scripting detected

ich nutzt LMO 4.1.4

[Henshingly]

Vielen Dank für die Board E-Mail !! und die Verlinkung hier her!

wenn ich die init.php aus dem patch vom Dezember nehme, mit dem neuen code überschreibe, kommt beim öffnen einer Spielklasse (LMO Admin bereicht) folgender Fehler auf einer weißen Seite:

XSS-Scripting detected

ich nutzt LMO 4.1.4

Zeile 33 in der lmo-adminmain.php

Code: Alles auswählen

    $subdir=isset($_REQUEST["subdir"])?$_REQUEST["subdir"]:dirname($file)."/";

ändern in

Code: Alles auswählen

    $subdir = isset($_REQUEST['subdir']) ? $_REQUEST['subdir'] : dirname($file);

Sorry hatte ich vergessen

EDIT
Diese Änderungen nicht durchführen.

[eumel1602]

Ok, Habe auch die zweite Datei in zeile 33 den Code ersetzt. nun funktioniert es wieder! DANKE

Vorschlag. Kann man das nicht gleich neu in den Patch einarbeiten. und geschlossen die vier Datein zur Verfügung stellen? (ZEitstempel heute)

[eumel1602]

Moin!
Leider ist noch nicht alles "schick".
Ich habe im Frontend eine aktuiellen "Spielplan"seite die komplett nicht funktioniert. (Fehler: XSS-Scripting detected)
Link: https://XXXXXX/index.php/ssv-teams/1-ma ... plan-ssv-i

Die Ergebnisse/Tabelle der Liga hingegen funktioniert:
https://XXXXXX/index.php/ssv-teams/1-ma ... elle-ssv-i

wenn ich hier auf dem folgenden Link (Ball) klicke (auf einen Archivbereich) da sind zahlreiche Ligen ebenfalls mit dem Code:
XSS-Scripting detected nicht erreichbar... einige gehen

Ich kann kein System feststellen

[DwB]

Ändere den Link auf https://ssvsayda.de/lmo_v4.1.4/lmo.php? ... &selteam=9

also ohne / im Parameter file

[eumel1602]

Ändere den Link auf https://ssvsayda.de/lmo_v4.1.4/lmo.php? ... &selteam=9

also ohne / im Parameter file

OHHH MAN! DANKE...
früher lief das...

Für Andere User
hier der Fehler des Beispiels:
https://xxxxxxx/LMO4_1_4/lmo.php?file=/fjugendfruehjahr2122.l98&action=program" style="vertical-align: middle;" width="550">

[eumel1602]

Guten Morgen. Nach den Änderungen ist mir weiterhin aufgefallen:
Ich bin im Adminbereich des LMO. Öffnen eine Liga, nehme meine Änderungen vor und speichere.
Danach möchte ich in eine andere Liga wechseln. Klicke ich nun auf den TAB "Öffnen" wird mir angezeigt, das es keine Ligen mehr gibt (screenshot).
Nutzte ich dann einen anderen Tab: z.b. "NEU" und gehe über den TAB "Öffnen" wieder zu den Ligen, sind wieder alle Ligen zu sehen.

bildschirmabgriff.jpg

[Henshingly]

Muss ich mir mal ansehen.
Aber erst morgen

[Henshingly]

Einige Änderungen in der lmo-dirlist.php

geänderte Datei im Anhang

EDIT:
Anhang gelöscht weil dieser Fix nicht alle Fehler beseitigt.

MfG
Henshingly

[eumel1602]

Hallo !
Habe die Datei "drüberkopiert" Nun werden wieder alle Ligen nach dem Speichern in der Liste angezeigt,
ABER:
klickt man aber auf eine Liga und öffnet sie, ist sie leer!
Ausloggen, neu einloggen, geht wieder genau eine Liga, nach dem speichern , die andere Liga, egal welche, leer...
sie bild:

bildschirmabgriff.jpg

(nicht wundern. Die Tabs: NEU, ÖFFNEN, Uppload, Dowload ect. sind aktuell farblich ausgeblendet (gleiche farbe mit hintergrund). Hat aber nix mit dem Fehler zu tun. ist schon lange so gewolt, das ist eine interne geschichte... )

[Henshingly]

Ich muss die ganze Sache neu überdenken.
Werde morgen, spätestens übermorgen was schaffen

[eumel1602]

Danke für deine Mühen

[Henshingly]

@eumel1602

schaust Du hier.

MfG Henshingly

[eumel1602]

Ich habe die drei datein aus dem Patch 1.1. "drübergebügelt" und konnte keinen Fehler bis jetzt mehr finden!

DANKE!