Erinnerungs-E-Mail: Titel im E-Mail-Body nicht escaped

Hi,

wenn der Titel HTML Tags enthält, dann wird bei der Erinnerungs-E-Mail diese nicht escaped. D.h. das HTML-Tag wird gerendert, vorstellbar sind irgendwelche Injections. Auf der Homepage scheint alles korrekt escaped zu werden (habe keine Bypasses ausprobiert).

VG

Oli | 10.02.2021 12:13

Hi,

auch wenn wir aktuell das Risiko an dieser konkreten Stelle als nicht so groß einschätzen, ist es ein guter Hinweis. Hier gilt natürlich, dass ich mit einem solchen Sicherheitsbruch meine eigenen Leute aufs Kreuz lege.

Dein angesprochener Punkt gilt natürlich nicht nur für Erinnerungsmails, sondern auch für andere Nachrichten.

Sollte eine solche E-Mail versendet werden, werden Nutzer:innen stutzig über den "seltsamen" Betreff der E-Mail und geschützt durch E-Mail-Programme, die die Ausführung von Skripten blockieren und zusätzliche Inhalte nicht herunterladen. Die Darstellung in GruVer wird, wie du ja auch gesagt hast entsprechend sicher escaped.

Da es aber trotzdem ein Problem ist, lasse ich den bugreport offen, bis es durchgängig behoben wurde.

Vielen Dank und viele Grüße,
Oli

Erstellungs-Datum 28.01.2021 19:39:34

Ersteller admin

Abonnenten 3

Status Neu