Checkbox Survey

Die Schwachstelle steckt in der Komponente CheckboxWeb.dll der Umfrage-Software Checkbox Survey des Herstellers Checkbox. Sie beruht auf der unsicheren Deserialisierung nicht vertrauenswürdiger Daten: Die Anwendung wandelt von außen entgegengenommene, serialisierte Daten wieder in Objekte um, ohne deren Herkunft und Inhalt ausreichend zu prüfen. Ein Angreifer kann hierfür präparierte Daten einschleusen, sodass beim Deserialisieren von ihm kontrollierter Code zur Ausführung kommt. Der Angriff lässt sich aus der Ferne über das Netzwerk durchführen und erfordert weder eine Anmeldung noch gültige Zugangsdaten. Gelingt die Ausnutzung, kann der Angreifer beliebigen Code auf dem betroffenen System ausführen und so die Kontrolle über die Anwendung und den darunterliegenden Server übernehmen. Betroffen sind ältere Ausgaben der Software; neuere Produktgenerationen gelten nach Herstellerangaben als nicht anfällig. Da Umfrage-Anwendungen häufig öffentlich aus dem Internet erreichbar sind, ist die Komponente ein besonders exponierter Angriffspunkt.