Sense

Die Schwachstelle betrifft Qlik Sense Enterprise für Windows, eine Plattform für Datenanalyse und Visualisierung. Es handelt sich um einen Fehler beim sogenannten HTTP-Request-Tunneling: Ein Angreifer kann zusätzliche, verschachtelte HTTP-Anfragen in eine eigentliche Anfrage einbetten und so durch die Prüfmechanismen der Anwendung hindurchschleusen. Diese eingebetteten Anfragen werden anschließend vom Backend-Server ausgeführt, der die Repository-Anwendung bereitstellt. Auf diesem Weg gelangt der Angreifer an Funktionen, die ihm eigentlich verwehrt sein sollten, und kann seine Rechte auf dem System ausweiten. Der Angriff lässt sich aus der Ferne durchführen. Weil die getunnelten Anfragen direkt vom Backend abgearbeitet werden, kann ein Angreifer Aktionen mit erhöhten Berechtigungen anstoßen und damit auf Daten oder Verwaltungsfunktionen zugreifen, die durch die reguläre Zugriffskontrolle geschützt sein sollten. Betroffen sind Organisationen, die Qlik Sense auf eigenen Windows-Servern betreiben.