usd-2025-0019 | d.3one 1.14.16 - Reflective Cross-Site Scripting

Product: d.3one
Affected Version: 1.14.16
Vulnerability Type: Cross-Site Scripting (CWE-79)
Security Risk: High
Vendor: d-velop
Vendor URL: https://www.d-velop.de/
Vendor acknowledged vulnerability: Yes
Vendor Status: Fixed in version 7.30.13 and 7.33.3
CVE Number: Requested
CVE Link: -
Advisory ID: usd-2025-0019

Description

Über den Aufruf eines schädlichen Links ist es möglich, JavaScript im Browser des Opfers auszuführen. Dies kann ausgenutzt werden, um Funktionen in der Weboberfläche im Namen des Opfers aufzurufen und den Inhalt der Anwendung zu extrahieren. Hierdurch ist die Vertraulichkeit und Integrität der verarbeiteten Daten gefährdet.

Proof of Concept

Die folgende URL öffnet beispielhaft eine Alert-Box mit dem aktuellen Domainnamen:

https://d3one-int.[...].local/shell/ng/#?pentest=1"><img]() src=x onerror=alert(document.domain)>

Screenshot der über JavaScript geöffneten Alert-Box:

Die Ursache für die Schwachstelle ist die Verwendung der unsicheren Funktion Element.insertAdjacentHTML, ohne eine vorherige Bereinigung der Parameter. Der folgende Screenshot zeigt einen Ausschnitt des verwundbaren Codes:

In der Anwendung kann man nach dem Aufruf der obigen URL ebenfalls sehen an welcher Stelle der Payload eingebettet wurde, da sich hierdurch das HTML geändert hat.

In der Mozilla-Dokumentation zu der verwundbaren Funktion wird darauf hingewiesen, dass keine Benutzereingaben verwendet werden dürfen, die nicht bereinigt wurden: <https://developer.mozilla.org/de/docs/Web/API/Element/insertAdjacentHTML#sicherheitshinweise>

Fix


Die Verwendung von unsicheren Funktionen sollte unterbunden werden.

References

Timeline

  • 2025-04-15: First contact request via mail
  • 2025-04-15: Response from d.velop
  • 2025-04-22: Vulnerability details sent to d.velop
  • 2025-04-22: d.velop confirmed the delivery and begun investigating the matter.
  • 2025-04-30: d.velop fixed the vulnerability.
  • 2025-05-13: d.velop released fixed versions 7.30.13 and 7.33.3

Credits

This security vulnerability was identified by Konstantin Samuel of usd AG.