Auf Grund mehrerer Fehler in MySQL Eventum 1.5.5 und älteren Versionen können böswillige Angreifer Cross-Site-Scripting-Attacken und SQL-Injection-Angriffe durchführen. Eventum ist ein Tracking-System, das beispielsweise vom technischen Support einer Firma oder von Entwicklungsteams genutzt wird, um Anfragen mit kurzen Reaktionszeiten zu bearbeiten.
Eines der Probleme betrifft Eingaben in die ‘id’-Parameter in ‘view.php’, in die ‘release’-Parameter in ‘list.php’ und in die ‘F’-Parameter in ‘get_jsrs_data.php’. Die Eingaben werden nicht ausreichend bereinigt, bevor sie das System an den User zurückgibt. Angreifer könnten das ausnutzen, um willkürlich HTML- und Script-Code im Browser eines Benutzers auszuführen.
Bei der zweiten Lücke geht es um Eingaben in die Klassifizierungen Release, Report und Authentication. Die Eingaben dort bereinigt das System ebenfalls nicht sauber vor der Nutzung in einer SQL-Anfrage. Ein Angreifer nimmt diesen Fehler gerne auf, um die Anfragen zu manipulieren, indem er beliebigen SQL-Code einschleust.
Die Sicherheitsfirma Secunia, die die Schwachstellen auf ihrer Webseite veröffentlicht hat, stuft die Probleme als ‘moderat kritisch’ ein, der Entdecker allerdings – James Bercegay vom GulfTech Security Research Team – sieht eine hohe Exploit-Gefahr. Er rät, die neue Version von MySQL Eventum aufzuspielen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.