Sense

Die Schwachstelle betrifft Qlik Sense, die Analyse- und Business-Intelligence-Plattform von Qlik, in der Windows-Variante für Unternehmen. Es handelt sich um einen Path-Traversal-Fehler: Durch besonders präparierte HTTP-Anfragen kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten den Pfad innerhalb der Anwendung verlassen und auf Bereiche zugreifen, die eigentlich abgeschottet sein sollten. Konkret lässt sich darüber eine anonyme Sitzung erzeugen, also eine gültige Sitzung ohne vorherige Anmeldung. Auf dieser Grundlage kann der Angreifer weitere HTTP-Anfragen an interne Endpunkte richten, die normalerweise nur authentifizierten Nutzern offenstehen. Damit umgeht er die Zugriffskontrolle der Plattform und kann unautorisiert mit geschützten Funktionen interagieren. Betroffen sind Installationen, deren Verwaltungs- bzw. Weboberfläche aus dem Netz erreichbar ist – ein typischer Angriffspunkt, da Qlik Sense häufig zentral bereitgestellt wird.