Über eine besondere Filterfunktion in der REST-API vom Content-Management-System (CMS) Statamic können Passwort-Hash-Werte aller Benutzer:innen ausgelesen werden. Falls unsichere Passwörter zum Einsatz kamen, kann ein offline Passwort-Rateangriff zur Übernahme des Benutzerkontos und somit der verwalteten Website führen.
Die REST-API ist überdies in "Pro-Funktion" und in einer Standardinstallation nicht aktiviert. Aufgrund einer im Regelfall aktivierten Anfragedrosselung dauert die Extraktion eines Hash-Wertes ungefähr eine Stunde.
Infolgedessen hat der Hersteller des CMS Statamic die Schwachstelle in Version 3.3.2 behoben.
Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:
15.10.2024
Awe2: Phishing Awareness
15.10.2024
- 16.10.2024
Hack7: Sicherheit und Einfallstore bei Webapplikationen
16.10.2024
Awe1: IT-Sicherheit kennenlernen
17.10.2024
SySS bei der Verkada Inc. in London
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer