Novi Survey

Die Schwachstelle steckt in der Umfrage-Software Novi Survey und beruht auf einer unsicheren Deserialisierung. Dabei verarbeitet die Anwendung serialisierte Daten, die ein Angreifer zuvor manipuliert hat, ohne sie ausreichend zu prüfen – beim Wiedereinlesen lässt sich dadurch unerwünschter Programmcode unterschieben. Ausnutzen lässt sich der Fehler aus der Ferne über das Netzwerk. Ein Angreifer kann auf diesem Weg eigenen Code auf dem Server ausführen, und zwar im Kontext des Dienstkontos, unter dem die Software läuft. Damit erlangt er die Rechte dieses Kontos auf dem Serversystem. Nach den vorliegenden Angaben verschafft der Angriff allerdings keinen Zugriff auf die gespeicherten Umfragen oder die erfassten Antwortdaten – die Auswirkung beschränkt sich auf die Codeausführung im Rahmen des Dienstkontos. Betroffen sind serverseitige Installationen von Novi Survey, die über das Netzwerk erreichbar sind.