Craft CMS

Die Schwachstelle betrifft Craft CMS, ein flexibles Content-Management-System zum Aufbau eigener Web-Angebote. Es handelt sich um eine Schwachstelle zur Codeeinschleusung, die zur Ausführung von Schadcode aus der Ferne führt. Ursache ist eine unzureichende Prüfung des Pfads für die Datenbanksicherung: Über diesen ungeprüften Pfad lässt sich beliebiger Code einschleusen und auf dem Server ausführen. Voraussetzung für die Ausnutzung ist allerdings, dass der geheime Sicherheitsschlüssel der betroffenen Installation bereits in fremde Hände gelangt ist. Betroffen sind unter dieser Bedingung Installationen der vierten und fünften Produktgeneration. Gelingt der Angriff, kann der Angreifer eigenen Code auf dem System ausführen und damit die Kontrolle über die CMS-Installation und den darunterliegenden Server übernehmen – mit allen Folgen für die gehosteten Inhalte und Daten.