StoreFront Server

Die Schwachstelle betrifft den Citrix StoreFront Server, eine Komponente zur Bereitstellung und Verwaltung des Zugriffs auf virtuelle Anwendungen und Desktops. Der Fehler liegt in der Verarbeitung von XML-Daten: Die Software wertet externe Entitäten aus, die in XML-Eingaben eingebettet sind (XML External Entity, XXE). Dadurch lässt sich der XML-Parser dazu bringen, auf Ressourcen zuzugreifen, die er nicht offenlegen sollte. Ein Angreifer kann den Defekt aus der Ferne und ohne vorherige Anmeldung ausnutzen, indem er manipulierte XML-Eingaben an den Server schickt. Im Ergebnis kann er möglicherweise an vertrauliche Informationen gelangen, die auf dem System hinterlegt sind. Da der StoreFront Server als zentrale Zugangskomponente häufig erreichbar betrieben wird, ist er ein lohnender Angriffspunkt, und der unauthentifizierte Zugriff senkt die Hürde für einen Angriff erheblich.