Craft CMS

Die Schwachstelle steckt im Craft CMS, einem System zur Verwaltung von Webinhalten. Sie erlaubt einem Angreifer, aus der Ferne und ohne vorherige Anmeldung eigenen Programmcode einzuschleusen und auf dem Server auszuführen (Remote Code Execution). Der Angriffsweg gilt als wirkungsstark und zugleich technisch einfach umzusetzen, sodass keine besonderen Voraussetzungen oder aufwendigen Vorbereitungen nötig sind, um ihn zu missbrauchen. Gelingt der Angriff, kann der Angreifer beliebige Befehle im Kontext der Anwendung ausführen und damit weitreichende Kontrolle über die betroffene Installation erlangen – bis hin zum Zugriff auf gespeicherte Inhalte und Daten. Es handelt sich um eine ergänzende Behebung einer bereits zuvor bekannten Code-Injection-Lücke im selben System; der dort offen gebliebene Rest wurde mit diesem Fix geschlossen. Betroffen sind Betreiber von Websites, die Craft CMS in einer nicht aktualisierten Ausgabe einsetzen.