Schwachstellen in Element-IT HTTP Commander (SYSS-2021-020/-021/-027)

Über die Funktion zum Entpacken von ZIP-Archiven können Nutzer im Element-IT HTTP Commander Dateien in beliebige schreibbare Ordner auf dem System ablegen, was zu einer Übernahme des Systems führen kann.

Über das Hochladen von manipulierten SVG-Grafiken können Cross-Site Scripting-Schwachstellen ausgenutzt werden. Die beiden Schwachstellen wurden bereits vom Hersteller behoben.

Eine weitere Schwachstelle erlaubt es, Ressourcen im Netzwerk des Servers abzufragen und herunterzuladen. Diese Server-Side Request Forgery-Schwachstelle wurde nicht behoben, die anfällige Funktion ist in den aktuellen Versionen von Element-IT HTTP Commander jedoch standardmäßig deaktiviert.

Detaillierte Informationen zu den gefundenen Schwachstellen finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

• SYSS-2021-020
• SYSS-2021-021
• SYSS-2021-027

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.