Nur auf Englisch verfügbar
Entdeckung von 2 neuen CVEs: CVE-2020-35542 & CVE-2020-22789
Im vergangenen Monat haben drei unserer Kollegen bei ihrer Arbeit als renommierte Sicherheitsspezialisten bei Bureau Veritas Cybersecurity wichtige CVEs entdeckt: CVE-2020-35542 und CVE-2020-22789. Wir sind stolz darauf, diese Nachricht mitzuteilen und möchten Harikrishnan Padmanabha Pillai, Ricardo Sanchez & David van Gool zu diesen großartigen Leistungen gratulieren!
Während einer Sicherheitsüberprüfung fand der Sicherheitsspezialist Harikrishnan Padmanabha Pillaivon Bureau Veritas Cybersecurity eine Schwachstelle, über die ein authentifizierter Benutzer bösartige JavaScript-Inhalte in die Anwendung einfügen und ausführen konnte. Die Schwachstelle wurde durch eine fehlende Eingabevalidierung in der Anwendung verursacht. Die Auswirkung einer solchen Sicherheitslücke besteht darin, dass sie andere Benutzer in der Anwendung gefährden und auch die interne Datenbank manipulieren könnte(CVE-2020-35542).
Diese Sicherheitslücke wurde Unisys gemeldet und anschließend behoben. Für weitere Informationen zu dieser Sicherheitslücke und den technischen Details lesen Sie bitte weiter.
Neben Harikrishnan haben auch unsere Kollegen Ricardo Sanchez und David van Gooleine interessante Entdeckung gemacht. Bei ihrer Arbeit fanden sie in einem FME Server der Versionen 2019.2 und 2020.0 Beta eine Schwachstelle für ein nicht authentifiziertes Stored XSS(CVE-2020-22789). Diese zweite Schwachstelle ermöglicht es einem entfernten Angreifer, Administratorrechte zu erlangen, indem er beliebige Web-Skripte oder HTML-Code über die Login-Seite einschleust. Der XSS wird ausgeführt, wenn ein Administrator auf die Logs-Seite zugreift. Im Rahmen der Bureau Veritas Cybersecurity Responsible Disclosure wurde die Sicherheitslücke gemeldet und vom Hersteller in der neuen Version behoben.
Lesen Sie hier mehr darüber, was diese Sicherheitslücke beinhaltet und wie sie entdeckt wurde.