Multiple vulnerabilities identified in "i-doit" CMDB web application

January 5, 2013;

i-doit is a web application for documenting complex IT infrastructures. The i-doit web application does not properly encode output of user data in various places, as identified by Stephan Rickauer of Compass Security. Exploiting this vulnerability leads to so-called cross-site scripting (XSS) and allows execution of JavaScript code in the context of the user's session, e.g. to impersonate logged-in i-doit CMDB users.

i-doit versions prior to 1.0 Pro and 0.9.9-7 Open are affected. Version 1.0.2 Pro has received a new configure option to 'sanitize user input' which defaults to off and has to be manually enabled. However, bear in mind all installations not having this flag set remain vulnerable.

CVE-2013-1413

Links:
http://www.i-doit.org
http://www.i-doit.com 

 

News

Compass am CFO-Forum
9/22/14 - 11. Handelszeitung Jahrestagung

Compass Security Schweiz AG bezieht neue Büroräumlichkeiten in Bern
6/19/14 - Neues Zuhause im Länggass-Quartier

Vulnerability in JavaMail
5/22/14 - Alexandre Herzog identified vulnerability in JavaMail.

Compass geht in die Offensive auf der CeBIT
3/4/14 - Gefahr erkannt, Gefahr gebannt – Compass Security greift auch auf der diesjährigen CeBIT vom 10.-14.03.2014 wieder an: Mit verschiedenen Vorträgen sind die Experten Hackern auf der Spur. Sie zeigen, mit welchen Mitteln Angreifer kämpfen und wie man sie mit ihren eigenen Waffen schlagen kann.

Vulnerability in i-doit
2/20/14 - Stephan Rickauer identified vulnerability in i-doit.