Mehrere Schwachstellen in Sage DPW

Title

Reflected Cross-Site Scripting and Unauthenticated Malicious File Upload

Product

Sage DPW

Vulnerable Version

2020_06_000 & 2020_06_001

Fixed Version

-2020_06_002

CVE Number

CVE-2020-26583 & CVE-2020-26584

Impact

high

Found

30.05.2020

By

Gerhard Hechenberger, Stefan Michlits (Office Vienna) | SEC Consult Vulnerability Lab

Die Anwendung DPW von der Firma Sage enthält mehrere Schwachstellen. Darunter fallen Reflected Cross-Site Scripting, Authentifizierungsprobleme und unzureichende Datei-Upload-Einschränkungen.

Zum ausführlichen Security-Advisory (Englisch)

Security Research: Gerhard Hechenberger, Stefan Michlits / @2020

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.