WhatsUp Gold

Die Schwachstelle betrifft die Netzwerküberwachungs-Software WhatsUp Gold von Progress. Sie ist eine SQL-Injection: Über manipulierte Eingaben, die ungeprüft in eine Datenbankabfrage einfließen, kann ein Angreifer die Abfragelogik der Anwendung verändern und sich Daten aus der Datenbank auslesen lassen. Ausnutzbar ist die Lücke aus der Ferne und ohne vorherige Anmeldung – ein unauthentifizierter Angreifer benötigt also weder gültige Zugangsdaten noch besondere Rechte. Auf diesem Weg lässt sich das verschlüsselt gespeicherte Benutzerpasswort auslesen. Besonders relevant ist dies in Installationen, die nur mit einem einzigen Benutzerkonto betrieben werden: Dort genügt der Zugriff auf dieses eine Konto, um die Anmeldedaten der gesamten Anwendung in die Hände zu bekommen. Betroffen sind ältere Ausgaben der Software, deren Web-Schnittstelle für den Angriff erreichbar ist.