.werks/982

   1 Title: Fix two XSS weaknesses according to CVSS 8.5 AV:N/AC:M/Au:S/C:C/I:C/A:C
   2 Level: 2
   3 Component: multisite
   4 Class: security
   5 State: unknown
   6 Version: 1.2.5i4
   7 Date: 1401183811
   8
   9 This fixes the following issue:
  10
  11 The check_mk application is susceptible to reflected XSS attacks. This is
  12 mainly the result of inproper output encoding. Reflected XSS can be triggered
  13 by sending a malicious URL to a user of the check_mk application. Once the
  14 XSS attack is triggered, the attacker has access to the full check_mk (and
  15 nagios) application with the access rights of the logged in victim.
  16
  17 The fix applies to the function:
  18
  19 htmllib.py: render_status_icons()
  20 actions.py: ajax_action()