Multiple Products

Die Schwachstelle betrifft mehrere Produkte von Cleo zur verwalteten Datenübertragung (Managed File Transfer): Harmony, VLTrader und LexiCom. In diesen Anwendungen ist das Hochladen und Herunterladen von Dateien nicht ausreichend eingeschränkt. Ein Angreifer kann dadurch beliebige Dateien auf das System übertragen, ohne dass deren Art oder Inhalt wirksam geprüft wird. Durch das gezielte Einschleusen und anschließende Abrufen einer solchen Datei lässt sich Schadcode aus der Ferne zur Ausführung bringen. Die so erlangte Codeausführung erfolgt mit erhöhten Rechten auf dem betroffenen Server, sodass der Angreifer weitreichende Kontrolle über das System erhält. Besonders kritisch ist dies, weil die betroffenen Produkte gerade dem geschäftskritischen Dateiaustausch zwischen Organisationen dienen und häufig direkt aus dem Internet erreichbar sind – ein kompromittierter Server kann damit zum Einfallstor für sensible Daten und nachgelagerte Systeme werden.