Es konnten mehrere Schwachstellen in der Software publiXone von Konzept-iX identifiziert werden. Unter anderem kann ein Angriffer beliebige Accounts übernehmen. Zusätzlich konnten mehrere Aktionen unauthentifiziert über einen zu offen konfigurierte Java Endpunkt ausgeführt werden. Unter anderem lassen sich dadurch die eigenen Privilegien im System erhöhen, beliebige Benutzerprofile auslesen und Mails mit beliebigem Inhalt, Absender und Empfänger versenden.
Zum ausführlichen Security-Advisory (Englisch)
Security Research: Marius Schwarz / @2020
Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.