Category
XSS-Schwachstellen in Jira-Apps (SYSS-2022-038/-039/-040)
In drei Jira-Apps wurden Cross-Site Scripting-Schwachstellen gefunden. Diese erlauben die Ausführung von JavaScript-Code im administrativen Bereich.
"Undocumented Functionality" (Backdoor) in Mitel Desk Phones (SYSS-2022-021)
Eine "Undocumented Functionality" (Backdoor) in Mitel 6800/6900 Desk Phones kann ausgenutzt werden, um die höchsten Rechte auf dem System zu erlangen.
Kritische Schwachstelle in Crypto USB Flash Drive Lepin EP-KP001 (SYSS-2022-024)
Es ist möglich, unautorisierten Zugriff auf die verschlüsselt gespeicherten Daten eines Crypto USB Flash Drive Lepin EP-KP001 im Klartext zu erlangen.
Mehrere Schwachstellen in "sicheren" mobilen Festplatten und Crypto-USB-Sticks von Verbatim (SYSS-2022-001/-017)
Advisories
– SYSS-2022-001/-002/-003/-004/-005/-006/-007/-008/-009/-010/-011/-013/-014/-015/-016/-017
Die SySS fand bezüglich sicherer, verschlüsselter Festplatten und Crypto-USB-Sticks mehrere Sicherheitsschwachstellen in Produkten des Herstellers Verbatim.
SSRF-Schwachstelle in Canto Cumulus (SYSS-2022-023)
In Canto Cumulus bringt eine Server-Side Request Forgery (SSRF)-Schwachstelle diverse Risiken mit sich, die von Angreifenden ausgenutzt werden können.
MS Excel Formula Injection in KIX Pro (SYSS-2022-020)
Mithilfe einer Excel-Formel als Tickettitel kann ein KIX Pro-Benutzer Code auf dem lokalen Rechner eines anderen Benutzers ausführen.
Mehrere Schwachstellen in ZA|ARC (SYSS-2021-063/-064/-065/-066/-067)
In ZA|ARC gibt es mehrere Schwachstellen. Sie ermöglichen z. B., die eigenen Rechte auszuweiten, Passwörter zu dekodieren, Netzwerkverkehr mitzulesen etc.
Password-Hash-Preisgabe im CMS Statamic (SYSS-2022-022)
Im CMS Statamic können in der REST-API Passwort-Hash-Werte aller Benutzer:innen ausgelesen werden. Dies kann zur Übernahme der Website führen.
Cross-Site Scripting-Schwachstelle in DHC Vision (SYSS-2022-019)
In der Softwarelösung zur Qualitätssicherung und Compliance "DHC Vision" fand die SySS eine Cross-Site Scripting-Schwachstelle.
SQL Injection in der B2B Suite des Shopware e-Commerce Frameworks (SYSS-2022-018)
In der B2B Suite des Shopware e-Commerce Frameworks wurde eine SQL Injection gefunden. Diese erlaubt das vollständige Auslesen der verwendeten Datenbank.
Termine
09.08.2022
Secu7: Phishing Awareness
11.08.2022
- 14.08.2022
SySS auf der DEF CON in Las Vegas
13.09.2022
- 15.09.2022
Hack3: Angriffe auf Windows-basierte Netzwerke
14.09.2022
Secu6: IT-Sicherheit kennenlernen
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
