VeraCore

Die Schwachstelle betrifft VeraCore von Advantive, eine webbasierte Anwendung zur Lager- und Auftragsverwaltung. Sie steckt in einer Upload-Funktion der Webanwendung, die hochgeladene Dateien nicht ausreichend auf ihren Ablageort beschränkt. Ein aus der Ferne agierender, angemeldeter Benutzer kann dadurch Dateien in Verzeichnisse schreiben, für die der Upload gar nicht vorgesehen ist – etwa in Ordner, die anderen Nutzern beim normalen Aufruf der Anwendung über den Browser zugänglich sind. Weil sich Ziel und Inhalt der hochgeladenen Datei so manipulieren lassen, kann ein Angreifer eigene, ausführbare Inhalte an einer öffentlich erreichbaren Stelle platzieren und darüber weitergehenden Zugriff auf das System erlangen. Da es sich um eine fehlende Beschränkung beim Datei-Upload handelt, genügt bereits ein gültiges, möglicherweise niedrig privilegiertes Konto, um die Lücke auszunutzen.