PlaySMS

Die Schwachstelle betrifft PlaySMS, eine webbasierte Anwendung zum Versand und zur Verwaltung von SMS-Nachrichten. Der Defekt ist eine Server-Side Template Injection: PlaySMS bereinigt von außen übergebene Eingaben nicht ausreichend, sodass eine bösartig präparierte Zeichenkette nicht als bloßer Text behandelt, sondern von der Template-Engine auf dem Server als auszuführender Code interpretiert wird. Schleust ein Angreifer eine solche manipulierte Eingabe ein, kann er darüber eigenen Programmcode unmittelbar auf dem Server ausführen lassen (Remote Code Execution) und so die Kontrolle über die zugrunde liegende Anwendung und das System gewinnen. Da PlaySMS als Webanwendung betrieben wird, ist der verwundbare Eingabepfad typischerweise über das Netzwerk erreichbar, was den Angriffsweg ohne physischen Zugriff auf den Server eröffnet. Betroffen sind alle Betreiber, die eine verwundbare Ausgabe der Software einsetzen.