.werks/5654

   1 Title: Fixed XSS on the site management page
   2 Level: 1
   3 Component: multisite
   4 Class: security
   5 Compatible: compat
   6 Edition: cre
   7 State: unknown
   8 Version: 1.5.0i3
   9 Date: 1516802216
  10
  11 When using the WATO configuration it was possible to create a site on
  12 the distributed monitoring page which uses with javascript code in
  13 it's alias. When this site was later displayed in the site tables, the
  14 javascript code could be executed in the browsers context of the user
  15 viewing the table.
  16
  17 The insertion of the javascript code is only possible for authenticated
  18 users with the permission to configure Check_MK sites.