Soweit ich weiß, hatte bisher noch keine externe Person den Code von OpenPetra auf Sicherheitslücken getestet. Das ist nun geschehen, und eine Sicherheitslücke wurde uns diskret und verantwortlich mitgeteilt.
Nach dem Beheben wurde der Bericht veröffentlicht, und die Sicherheitslücke wird hier beschrieben: https://huntr.dev/bounties/2fd892e2-01d2-448c-9eef-284d740ae2d4/
Das Problem trifft nur zu, wenn ein bereits angemeldeter Benutzer bewusst gefährlichen Code im Web Client eingibt, und zwar nur im Patenschaftsmodul. Im Kontaktmodul trifft die Lücke nicht zu.
Trotzdem habe ich den Hinweis natürlich ernst genommen, und das Problem an der Wurzel behoben, sowohl auf der Server Seite wie auch auf der Client Seite. Siehe dazu auch die Commits und Kommentare zu diesem Ticket: https://github.com/openpetra/openpetra/issues/630
Die neue Version des binären Paketes von OpenPetra (Tarball) version 2021.10.0.3 enthält bereits die Korrektur.
Ich habe die Sicherheitslücke auf allen OpenPetra Installationen geschlossen, die von mir gewartet werden (https://www.openpetra.com, https://demo.openpetra.org).
