NG/MF

Die Schwachstelle betrifft die Druck- und Verwaltungssoftware NG/MF von PaperCut und beruht auf einer Cross-Site-Request-Forgery (CSRF). Bei dieser Angriffsart lässt ein Angreifer den Browser eines angemeldeten Nutzers ungewollt eine Aktion auf der Anwendung ausführen, ohne dass dieser es bemerkt. Ausnutzbar ist die Lücke unter bestimmten Voraussetzungen, wenn das Ziel ein Administrator mit einer aktiven Anmeldesitzung ist. Typischerweise verleitet der Angreifer den Administrator dazu, auf einen eigens präparierten, bösartigen Link zu klicken. Im Hintergrund werden dann Anfragen mit dessen Rechten abgesetzt. Dadurch kann der Angreifer Sicherheitseinstellungen verändern oder unter Umständen sogar beliebigen Code ausführen und so unautorisierte Änderungen an der Anwendung vornehmen. Betroffen sind Administratoren der Verwaltungsoberfläche; entscheidend ist, dass der Angriff die bestehende, vertrauenswürdige Sitzung des Opfers missbraucht, statt eigene Zugangsdaten zu benötigen.