Director

Die Schwachstelle betrifft die grafische Benutzeroberfläche von Versa Director, der zentralen Verwaltungsplattform für Versa-Netzwerke. In der Oberfläche gibt es eine Funktion zum Anpassen des Erscheinungsbilds, über die sich unter anderem das Favicon – das kleine Symbol im Browser-Tab – austauschen lässt. Diese „Change Favicon"-Funktion prüft hochgeladene Dateien nur unzureichend: Ein Angreifer kann eine schädliche Datei einschleusen, die lediglich durch die Endung .png als harmloses Bild getarnt ist, tatsächlich aber gefährlichen Inhalt trägt. Voraussetzung ist ein angemeldetes Konto mit weitreichenden Verwaltungsrechten auf Provider- beziehungsweise Rechenzentrumsebene; Konten auf Mandantenebene besitzen diese Berechtigung nicht und können die Funktion nicht nutzen. Da die Schwachstelle erst nach erfolgreicher Anmeldung mit einem solchen privilegierten Konto ausgenutzt werden kann, richtet sie sich vor allem gegen Umgebungen, in denen ein Angreifer bereits über entsprechende Administratorzugänge verfügt oder diese kompromittiert hat.