Unsere Pentest Professionals im usd HeroLab lieben Open Source Software – so wie alle. Doch sie sollte auch sicher sein. Im Kontext unserer Mission more security beschäftigte sich Christian Pöschl, Senior Consultant IT Security im usd HeroLab, daher näher mit der Open-Source-Software „Foswiki“. Hierbei identifizierte er mehrere Schwachstellen, die es Angreifern ermöglichten, Schadcode aus der Ferne einzuschleusen und auszuführen (Remote Code Execution).
Alle Schwachstellen wurden den Entwickler*innen gemäß unserer Responsible Disclosure Policy gemeldet und zügig durch die Veröffentlichung der TopicInteractionPlugin version 9.20 behoben.
Unsere Pentest Professionals haben einen Blogbeitrag geschrieben, um das Bewusstsein für diese Angriffsvektoren zu schärfen und anderen IT-Sicherheitsexpert*innen und Systemadministrator*innen dabei zu helfen, diese Sicherheitslücken zu erkennen und zu beheben.
Eine detaillierte Beschreibung auf Englisch finden Sie in unseren LabNews: https://herolab.usd.de/critical-foswiki-vulnerablities-a-logic-error-turned-remote-code-execution/
Mehr Details zu den identifizierten Schwachstellen finden Sie hier: https://herolab.usd.de/security-advisories/