Ihr direkter Kontakt zu SySS +49 7071 407856-9107 oder anfrage@syss.de | Sie haben einen Cybersicherheitsvorfall? +49 7071 407856-99

Ihr direkter Kontakt zu SySS +49 7071 407856-9107 oder anfrage@syss.de

Sie haben einen Cybersicherheitsvorfall? +49 7071 407856-99

Direkter Kontakt

+49 7071 407856-9107 oder anfrage@syss.de

Sie haben einen Cybersicherheitsvorfall?

+49 7071 407856-99

  4. Multiple Schwachstellen im COINS Construction Cloud ERP (SYSS-2021-028/-029/-030/-031/-051/-052/-053)

Multiple Schwachstellen im COINS Construction Cloud ERP (SYSS-2021-028/-029/-030/-031/-051/-052/-053)

 Advisories – SYSS-2021-028/-029/-030/-031/-051/-052/-053

Security Advisories von IT Security Consultants Jürgen Zöller und Philipp Rieth

COINS Construction Cloud ist ein Enterprise Resource Planning (ERP)-System für die Baubranche. Im Rahmen einer Sicherheitsanalyse wurden mehrere schwerwiegende Sicherheitslücken in Version 11.12 aufgedeckt. Diese umfassen sowohl Programmierfehler als auch Fehler in der Architektur der Software.

So können User mit Rechten der Personalabteilung über ein logisches Schlupfloch beliebige andere Accounts übernehmen. Dies ist insbesondere kritisch, da die Applikation auch für diverse persistente sowie reflektierte Cross-Site Scripting-Schwachstellen anfällig ist. Da diese Schwachstellen gezielte Angriffe gegen einzelne andere Nutzer erlauben, ist es hierdurch Angreifenden möglich, auch von niedrig privilegierten Accounts aus ihre Rechte deutlich auszuweiten.

Weiterhin ist das ERP aufgrund unsicherer Eingabeverarbeitung anfällig für erzwungene Serverabstürze. Diese können ausgelöst werden, indem ein angemeldeter Nutzer eine speziell geformte URL aufruft.

Auch können Angreifende aufgrund von Schwächen in der "Passwort zurücksetzen"-Funktion die Zieldomänen der erzeugten Links durch eine beliebige Domäne ersetzen. Dies kann potenziell für Phishing verwendet werden.

Da die SySS GmbH nach Meldung der Schwachstellen keinerlei Rückmeldung des Herstellers erhalten hat, kann nicht ausgeschlossen werden, dass eine oder mehrere der genannten Schwachstellen auch in aktuellen Versionen bestehen.

Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

 

 

SySS Newsletter abonnieren

Termine

19.05.2026 - 20.05.2026
SySS auf dem 27. Datenschutzkongress

28.05.2026 - 29.05.2026
SySS auf dem Security Fest

16.06.2026 - 17.06.2026
Hack11: Hacking von OT-Umgebungen

16.06.2026
SySS auf dem Fokustag "IT-Sicherheit im Gesundheitswesen" der Gesundheitsforen Leipzig GmbH

Ihr direkter Kontakt zu SySS +49 7071 407856-9107 oder anfrage@syss.de | Sie haben einen Cybersicherheitsvorfall? +49 7071 407856-99

Ihr direkter Kontakt zu SySS +49 7071 407856-9107 oder anfrage@syss.de

Sie haben einen Cybersicherheitsvorfall? +49 7071 407856-99

Direkter Kontakt

+49 7071 407856-9107 oder anfrage@syss.de

Sie haben einen Cybersicherheitsvorfall?

+49 7071 407856-99