XML Tag Injection in BSCW Server

Title

XML Tag injection

Product

BSCW Server

Vulnerable Version

BSCW Server <=5.0.11, <=5.1.9, <=5.2.3, <=7.3.2, <=7.4.2

Fixed Version

5.0.12, 5.1.10, 5.2.4, 7.3.3, 7.4.3

CVE Number

CVE-2021-36359

Impact

high

Homepage

https://www.bscw.de/classic/

Found

30.06.2021

Armin Stock (Atos Germany) | SEC Consult Vulnerability Lab

Die BSCW Groupware codiert die vom Benutzer bereitgestellten Eingaben nicht ordnungsgemäß, bevor sie an das Drittanbieter-Framework ReportLab übergeben wird. Das ReportLab-Framework weist mehrere bekannte Schwachstellen auf, die durch eingeschleuste Tags ausgenutzt werden können.

Zum vollständigen Security Advisory (Englisch).

EOF Armin Stock, @2021

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück

XML Tag Injection in BSCW Server

Wir nutzen Cookies

Technisch erforderlich

Analyse / Statistik

Matomo