VeraCore

Die Schwachstelle betrifft die Lagerverwaltungs- und Versandsoftware VeraCore von Advantive, genauer das Skript timeoutWarning.asp. Es handelt sich um eine SQL-Injection: Über den Parameter PmSess1 schleust ein Angreifer manipulierte Eingaben ein, die von der Anwendung ungeprüft an die dahinterliegende Datenbank weitergereicht und dort als SQL-Befehle ausgeführt werden. Der Angriff lässt sich aus der Ferne durchführen, ohne dass eine vorherige Anmeldung erforderlich ist. Auf diesem Weg kann der Angreifer beliebige Datenbankbefehle absetzen und damit gespeicherte Daten auslesen, verändern oder löschen. Da VeraCore zur Abwicklung von Auftrags-, Lager- und Versandprozessen eingesetzt wird, können dabei sensible Geschäfts- und Kundendaten betroffen sein. Je nach Konfiguration der Datenbank kann eine solche Einschleusung zudem als Ausgangspunkt für eine weitergehende Kompromittierung des Systems dienen.