MagicINFO 9 Server

Die Schwachstelle steckt im Samsung MagicINFO 9 Server, einer Verwaltungssoftware für digitale Beschilderung (Digital Signage). Es handelt sich um eine sogenannte Path-Traversal-Lücke: Die Software begrenzt einen übergebenen Dateipfad nicht ausreichend auf das vorgesehene Verzeichnis. Dadurch kann ein Angreifer aus diesem Verzeichnis ausbrechen und Dateien an beliebigen Stellen im Dateisystem ablegen. Besonders schwerwiegend ist, dass das Schreiben dieser Dateien mit Systemrechten erfolgt – also den höchsten Rechten des Betriebssystems. So kann ein Angreifer eigene Inhalte an kritischen Orten platzieren oder bestehende Dateien überschreiben und sich daraus die vollständige Kontrolle über das betroffene System verschaffen. Betroffen ist die Serverkomponente, die zentral mehrere Anzeigegeräte steuert; eine Übernahme wirkt sich daher nicht nur auf den Server selbst, sondern auf die gesamte darüber verwaltete Beschilderungsinfrastruktur aus.