Vielfältige Schwachstellen in BACKCLICK Professional (SYSS-2022-026 bis -037)

14.11.2022 – Advisories – SYSS-2022-026 bis -037

Security Advisories von Senior IT Security Consultants Moritz Bechler und Jannik Vieten

In BACKCLICK Professional (On-Premises), einer E-Mail-Marketinglösung, identifizierte die SySS im Rahmen einer Sicherheitsanalyse vielfältige Sicherheitsschwächen.

Mehrere Schwachstellen (SYSS-2022-027 sowie SYSS-2022-031 bis -034) sind zur Ausführung von Code bzw. Systemkommandos am Server, und damit zur Kompromittierung des Servers, geeignet.
Zwei dieser Angriffe ließen sich sogar über die externe Webschnittstelle von BACKCLICK Professional ohne Kenntnis von Zugangsdaten durchführen, weitere sind auf die internen Schnittstellen/Dienste beschränkt.

Auch gelang die Übernahme beliebiger Benutzeraccounts durch eine unsichere Umsetzung der "Passwort zurücksetzen"-Funktion sowie auch von Benutzersitzungen mittels Session Fixation-Angriff.
Durch vorhersagbare Identifikationsmerkmale in der Bestätigungsfunktion konnten darüber hinaus die E-Mail-Adressen sämtlicher Abonnenten abgefragt werden.

Daneben führen Schwächen in der Eingabeverarbeitung von BACKCLICK Professional zu einer Anfälligkeit für Cross-Site Scripting- sowie auch SQL Injection-Angriffe, wodurch ein Angreifer unautorisierten Zugriff auf Anwendungsdaten erhalten kann.

Details zur Beseitigung der Schwachstellen durch den Hersteller liegen der SySS derzeit nicht vor.

Detaillierte Informationen zu den gefundenen Schwachstellen finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories: