SysAid On-Prem

Die Schwachstelle betrifft die lokal betriebene Variante der IT-Service-Management-Software SysAid On-Prem. Sie sitzt in der Verarbeitung von Check-in-Anfragen und beruht auf einer unzureichenden Beschränkung externer XML-Entitäten – einer sogenannten XML-External-Entity-Lücke (XXE). Dabei wertet die Anwendung in eingehenden XML-Daten Verweise aus, die auf externe Ressourcen zeigen, ohne diese ausreichend einzuschränken. Ausnutzen lässt sich der Fehler aus der Ferne und ohne vorherige Anmeldung: Ein unauthentifizierter Angreifer kann manipulierte XML-Daten an die Check-in-Funktion senden und damit zweierlei erreichen. Zum einen kann er Dateien auf dem Server auslesen, auf die er normalerweise keinen Zugriff hätte. Zum anderen kann er ein Administratorkonto übernehmen und sich so die vollständige Kontrolle über die Anwendung verschaffen. Betroffen sind Organisationen, die SysAid selbst auf eigenen Servern betreiben.