In BACKCLICK Professional (On-Premises), einer E-Mail-Marketinglösung, identifizierte die SySS im Rahmen einer Sicherheitsanalyse vielfältige Sicherheitsschwächen.
Mehrere Schwachstellen (SYSS-2022-027 sowie SYSS-2022-031 bis -034) sind zur Ausführung von Code bzw. Systemkommandos am Server, und damit zur Kompromittierung des Servers, geeignet.
Zwei dieser Angriffe ließen sich sogar über die externe Webschnittstelle von BACKCLICK Professional ohne Kenntnis von Zugangsdaten durchführen, weitere sind auf die internen Schnittstellen/Dienste beschränkt.
Auch gelang die Übernahme beliebiger Benutzeraccounts durch eine unsichere Umsetzung der "Passwort zurücksetzen"-Funktion sowie auch von Benutzersitzungen mittels Session Fixation-Angriff.
Durch vorhersagbare Identifikationsmerkmale in der Bestätigungsfunktion konnten darüber hinaus die E-Mail-Adressen sämtlicher Abonnenten abgefragt werden.
Daneben führen Schwächen in der Eingabeverarbeitung von BACKCLICK Professional zu einer Anfälligkeit für Cross-Site Scripting- sowie auch SQL Injection-Angriffe, wodurch ein Angreifer unautorisierten Zugriff auf Anwendungsdaten erhalten kann.
Details zur Beseitigung der Schwachstellen durch den Hersteller liegen der SySS derzeit nicht vor.
Detaillierte Informationen zu den gefundenen Schwachstellen finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:
14.01.2025
- 15.01.2025
Hack1/Hack2: Hacking Workshop
16.01.2025
- 17.01.2025
Hack1/Hack2: Hacking Workshop
27.01.2025
- 28.01.2025
Hack4: Angriffe gegen VoIP-Infrastrukturen
03.02.2025
Secu5: Planung und Durchführung von Penetrationstests
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer