ProjectSend

Die Schwachstelle betrifft die Dateiaustausch-Anwendung ProjectSend und beruht auf einer fehlerhaften Authentifizierung. Der Defekt sitzt in der Skriptdatei, die für die Konfiguration der Anwendung zuständig ist: Diese prüft nicht zuverlässig, ob ein Aufrufer überhaupt berechtigt ist. Dadurch kann ein Angreifer aus der Ferne und ohne jede Anmeldung gezielt präparierte HTTP-Anfragen an diesen Endpunkt senden und so die Konfiguration der Anwendung unbefugt verändern. Auf diesem Weg lässt sich unter anderem die Selbstregistrierung freischalten. In der Folge kann der Angreifer eigene Benutzerkonten anlegen, sogenannte Webshells hochladen – also Skripte, die ihm die Ausführung beliebiger Befehle auf dem Server ermöglichen – sowie schädlichen JavaScript-Code einbetten, der im Browser der Nutzer ausgeführt wird. Betroffen sind alle Installationen, deren Oberfläche aus dem Netz erreichbar ist; sie können vollständig übernommen werden.