Schwachstellen in PubliXone

Project Description

Es konnten mehrere Schwachstellen in der Software publiXone von Konzept-iX identifiziert werden. Unter anderem kann ein Angriffer beliebige Accounts übernehmen. Zusätzlich konnten mehrere Aktionen unauthentifiziert über einen zu offen konfigurierte Java Endpunkt ausgeführt werden. Unter anderem lassen sich dadurch die eigenen Privilegien im System erhöhen, beliebige Benutzerprofile auslesen und Mails mit beliebigem Inhalt, Absender und Empfänger versenden.

Zum ausführlichen Security-Advisory (Englisch)

Security Research: Marius Schwarz / @2020

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung. Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Project Details

  • TitlePubliXone - Multiple Vulnerabilities
  • Productkonzept-ix publiXone
  • Vulnerable version2019.045
  • Fixed version2020.015
  • CVE numberCVE-2020-27179, CVE-2020-27183, CVE-2020-27180, CVE-2020-27181, CVE-2020-27182
  • Impactcritical
  • Homepagehttps://konzept-ix.com/publixone/
  • Found2020-05-15
  • ByMarius Schwarz (Office Munich) | SEC Consult Vulnerability Lab