AuUploader

Die Schwachstelle steckt in der Komponente AuUploader des ZK Framework, eines quelloffenen Java-Frameworks zur Entwicklung von Web-Oberflächen. Über die AuUploader-Servlets kann ein Angreifer mit einer speziell präparierten POST-Anfrage auf vertrauliche Informationen zugreifen: Konkret lässt sich der Inhalt einer Datei auslesen, die im Web-Kontext der Anwendung liegt. Der Angriff erfordert keine vorherige Anmeldung und erfolgt allein durch das Senden einer manipulierten Anfrage an die verwundbare Komponente. Weil das ZK Framework als Baustein in zahlreichen anderen Produkten verbaut ist, reicht die Tragweite weit über das Framework selbst hinaus: Betroffen sind auch darauf aufbauende Anwendungen, darunter unter anderem die Backup-Verwaltungssoftware ConnectWise R1Soft Server Backup Manager. Über das unbefugte Auslesen von Dateien können sensible Daten oder Konfigurationsinformationen in die Hände eines Angreifers gelangen, die weitere Angriffe vorbereiten.