Mehrere Bugs in 3 Open-Source-Software gefunden, die von mehreren Unternehmen genutzt wird

  • Cybersecurity-Forscher haben am Dienstag neun Sicherheitslücken aufgedeckt, die drei Open-Source-Projekte – EspoCRM, Pimcore und Akaunting – betreffen, die von mehreren kleinen und mittelständischen Unternehmen genutzt werden und bei erfolgreicher Ausnutzung einen Weg für anspruchsvollere Angriffe bieten könnten.

    Alle fraglichen Sicherheitslücken, die EspoCRM v6.1.6, Pimcore Customer Data Framework v3.0.0, Pimcore AdminBundle v6.8.0 und Akaunting v2.1.12 betreffen, wurden innerhalb eines Tages nach Bekanntwerden behoben, so die Forscher Wiktor Sędkowski von Nokia und Trevor Christiansen von Rapid7. Sechs der neun Schwachstellen wurden im Akaunting-Projekt aufgedeckt.

    [Blocked Image: https://thehackernews.com/images/-u_TFlX83-es/YMt1oTeur5I/AAAAAAAA4Q0/KR6i59vv_vIwmmg08UXTwO08_FGRyPjmQCLcBGAsYHQ/s300-e100/free-ad-9-300.png]

    EspoCRM ist eine Open-Source-Anwendung für Customer Relationship Management (CRM), während Pimcore eine Open-Source-Unternehmenssoftwareplattform für Kundendatenmanagement, Digital Asset Management, Content Management und digitalen Handel ist. Akaunting hingegen ist eine Open-Source- und Online-Buchhaltungssoftware, die für die Rechnungs- und Kostenverfolgung entwickelt wurde.

    Die Liste der Ausgaben ist wie folgt.

    • CVE-2021-3539 (CVSS-Score: 6.3) – Anhaltender XSS-Fehler in EspoCRM v6.1.6
    • CVE-2021-31867 (CVSS-Punktzahl: 6.5) – SQL-Injektion in Pimcore Customer Data Framework v3.0.0
    • CVE-2021-31869 (CVSS-Wertung: 6.5) – Pimcore AdminBundle v6.8.0
    • CVE-2021-36800 (CVSS-Wertung: 8.7) – OS-Befehlsinjektion in Akaunting v2.1.12
    • CVE-2021-36801 (CVSS-Wertung: 8.5) – Umgehung der Authentifizierung in Akaunting v2.1.12
    • CVE-2021-36802 (CVSS-Punktzahl: 6.5) – Denial-of-Service über die benutzergesteuerte Variable ‘locale’ in Akaunting v2.1.12
    • CVE-2021-36803 (CVSS-Score: 6.3) – Persistenter XSS während des Avatar-Uploads in Akaunting v2.1.12
    • CVE-2021-36804 (CVSS-Wertung: 5.4) – Schwacher Passwort-Reset in Akaunting v2.1.12
    • CVE-2021-36805 (CVSS-Punktzahl: 5.2) – Persistenter XSS in der Fußzeile von Rechnungen in Akaunting v2.1.12

    Eine erfolgreiche Ausnutzung der Schwachstellen könnte es einem authentifizierten Angreifer ermöglichen, beliebigen JavaScript-Code auszuführen, das zugrundeliegende Betriebssystem zu übernehmen und es als Ausgangsbasis für weitere schändliche Angriffe zu nutzen, einen Denial-of-Service über eine speziell gestaltete HTTP-Anfrage auszulösen und sogar das mit einem Benutzerkonto verbundene Unternehmen ohne jegliche Berechtigung zu ändern.

    [Blocked Image: https://thehackernews.com/images/-RUwUULZRUBA/YP_1lFklWsI/AAAAAAAADV8/qpsTzC1FQNYwFaT8hlXS0ZFs1DlfAFpqACLcBGAsYHQ/s728-e1000/flaw-1.jpg]EspoCRM
    [Blocked Image: https://thehackernews.com/images/-YcedLlglOmM/YP_2AWkoQsI/AAAAAAAADWE/FzgtQXyuPj8IZ0oYv6O7doNCfglIPyTSgCLcBGAsYHQ/s0/flaw-2.jpg]Pimcore Kundendaten-Framework

    Ebenfalls in Akaunting adressiert ist eine schwache Schwachstelle beim Zurücksetzen von Passwörtern, bei der der Angreifer die “Ich habe mein Passwort vergessen”-Funktionalität missbrauchen kann, um eine Phishing-E-Mail von der Anwendung an einen registrierten Benutzer zu senden, die einen bösartigen Link enthält, der, wenn er angeklickt wird, das Token zum Zurücksetzen des Passworts liefert. Der böse Akteur kann dann das Token verwenden, um ein Passwort seiner Wahl zu setzen.

    [Blocked Image: https://thehackernews.com/images/-c9dgmAKoN_s/YLy9MwSA5HI/AAAAAAAA4BI/hJfAZal3vaMbpnSbjpBWkZ-bT_62BsztwCLcBGAsYHQ/s728-e100/auth_728.jpg]

    “Alle drei Projekte haben reale Benutzer, reale Kunden ihrer zugehörigen Support-Services und Cloud-gehosteten Versionen und sind zweifellos die Kernanwendungen, die Tausende von kleinen bis mittleren Unternehmen heute betreiben”, so die Forscher.

    “Für alle diese Probleme gilt, dass ein Update auf die neuesten Versionen der betroffenen Anwendungen sie beheben wird. Wenn ein Update aufgrund externer Faktoren oder benutzerdefinierter, lokaler Änderungen schwierig oder unmöglich ist, können Benutzer dieser Anwendungen ihre Gefährdung begrenzen, indem sie ihre Produktionsinstanzen nicht direkt dem Internet präsentieren – stattdessen sollten sie sie nur in vertrauenswürdigen internen Netzwerken mit vertrauenswürdigen Insidern exponieren.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com