-----Ursprüngliche Nachricht-----
Von: CERT-Bund [mailto:certbund@bsi.bund.de]
Gesendet: Donnerstag, 22. Juni 2017 08:17
An: ILIAS
Cc: IT-SiBe
Betreff: Fwd: [CERT-Bund#2017061828000462] XSS-Schwachstelle auf der Lernplattform HS-Bund

Sehr geehrte Damen und Herren,

wir wurden darüber informiert, dass die Lernplattform der HS-Köln aufgrund einer nicht aktuellen ILIAS-Installation verwundbar für eine XSS-Schwachstelle ist.

Website: https://lernplattform.bund.de/

Location: /setup/setup.php?cmd={inject-here}&lang=de
Payload: "><script>alert(1)</script>
Vulnerability: XSS Reflected

Versionen von ILIAS < 5.2.5 sind dafür verwundbar. In der aktuellsten Version ist die Schwachstelle behoben.

Wir empfehlen daher, die ILIAS-Installation auf den neusten Stand zu heben.

Mit freundlichen Grüßen
das Team CERT-Bund

Im Auftrag
Dr. Timo Steffens

--
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat CK22 - CERT-Bund
Godesberger Allee 185-189
D-53175 Bonn
Telefon: +49 (0)228 99 9582 5110
Telefax: +49 (0)228 99 9582 7025
Web: https://www.bsi.bund.de/CERT-Bund/
PGP & S/MIME: https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/CERT-Bund/Kontakt/kontakt_node.html


Ralf Schenk fon +49 (0) 24 05 / 40 83 70 fax +49 (0) 24 05 / 40 83 759 mail rs@databay.de		Databay AG Jens-Otto-Krag-Straße 11 D-52146 Würselen www.databay.de
Sitz/Amtsgericht Aachen • HRB:8437 • USt-IdNr.: DE 210844202 Vorstand: Ralf Schenk, Dipl.-Ing. Jens Conze, Aresch Yavari, Dipl.-Kfm. Philipp Hermanns Aufsichtsratsvorsitzender: Wilhelm Dohmen