Mehrere Schwachstellen in PONTON X/P Messenger (SYSS-2021-077/-078/-079/-080)

Die B2B-Integrationslösung PONTON X/P der PONTON GmbH ist in den Versionen 3.8.0 und 3.10.0 unter eingeschränkten Voraussetzungen anfällig für mehrere Schwachstellen.
Dabei ist nur die Messenger-Komponente betroffen, welche normalerweise ausschließlich in internen Netzwerken erreichbar ist.
Weiterhin werden zur Ausnutzung meist bereits administrative Berechtigungen in der Webanwendung selbst benötigt.

Der Hersteller hat alle Schwachstellen in der Version 3.11.2 von PONTON X/P behoben.

Detaillierte Informationen zu den gefundenen Schwachstelle finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

• SYSS-2021-077 (Arbitrary file write, RCE through web shell)
• SYSS-2021-078 (Reflected Cross-Site Scripting)
• SYSS-2021-079 (Persistent Cross-Site Scripting)
• SYSS-2021-080 (Weakened Cross-Site Request Forgery)

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.