2021-0361: SPIP: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-02-17 18:18)

Neues Advisory

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen PHP-Programmcode auszuführen und Informationen auszuspähen. Eine weitere Schwachstelle ermöglicht einem Angreifer mit erweiterten Rechten die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs aus der Ferne. Eine erfolgreiche Ausnutzung dieser Schwachstelle erfordert die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten haben.

Der Hersteller stellt SPIP in den Versionen 3.2.9 und 3.1.15 zur Behebung der Schwachstellen bereit.

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'spip' auf Version 3.2.4-1+deb10u4 bereit, um die Schwachstellen zu beheben.

Schwachstellen:

SPIP-3-2-9-A

Schwachstelle in SPIP ermöglicht Ausspähen von Informationen

SPIP-3-2-9-B

Schwachstelle in SPIP ermöglicht Cross-Site-Scripting-Angriff

SPIP-3-2-9-C

Schwachstelle in SPIP ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.