Critical Foswiki Vulnerablities: A Logic Error Turned Remote Code Execution 

11. Juli 2023

Unsere Pentest Professionals im usd HeroLab lieben Open Source Software – so wie alle. Doch sie sollte auch sicher sein. Im Kontext unserer Mission more security beschäftigte sich Christian Pöschl, Senior Consultant IT Security im usd HeroLab, daher näher mit der Open-Source-Software „Foswiki“. Hierbei identifizierte er mehrere Schwachstellen, die es Angreifern ermöglichten, Schadcode aus der Ferne einzuschleusen und auszuführen (Remote Code Execution). 

Alle Schwachstellen wurden den Entwickler*innen gemäß unserer Responsible Disclosure Policy gemeldet und zügig durch die Veröffentlichung der TopicInteractionPlugin version 9.20 behoben.  

Unsere Pentest Professionals haben einen Blogbeitrag geschrieben, um das Bewusstsein für diese Angriffsvektoren zu schärfen und anderen IT-Sicherheitsexpert*innen und Systemadministrator*innen dabei zu helfen, diese Sicherheitslücken zu erkennen und zu beheben.  

Eine detaillierte Beschreibung auf Englisch finden Sie in unseren LabNews: https://herolab.usd.de/critical-foswiki-vulnerablities-a-logic-error-turned-remote-code-execution/

Mehr Details zu den identifizierten Schwachstellen finden Sie hier: https://herolab.usd.de/security-advisories/

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien