VU#317469: Die Verwendung von ... Notiz

VU#317469: Die Verwendung von Partnersoftware/Partner-Web bereinigt keine Berichtsdateien und Notizinhalte, sodass XSS und RCE möglich sind.

Partner-Software und Partner-Web sind anfällig für Cross-Site-Scripting-(XSS)-Angriffe aufgrund unzureichender Sanitierung von Berichts- und Notizdateien. Diese Anwendungen, die von der Industrie, Kommunen, staatlichen Regierungen und privaten Auftragnehmern verwendet werden, ermöglichen autorisierten Benutzern das Hochladen von Dateien. Die Datei-Upload-Funktion beschränkt keine Dateitypen, was es Angreifern ermöglicht, schädlichen Code auf einem Opfergerät auszuführen. Darüber hinaus wird Partner-Web mit standardmäßigen Administrator-Anmeldedaten ausgeliefert, was ein erhebliches Sicherheitsrisiko darstellt. Diese Schwachstellen, die als CVE-2025-6076, CVE-2025-6077 und CVE-2025-6078 identifiziert wurden, können zu beliebiger Code-Ausführung und Geräte-Kompromittierung führen. Der Einfluss dieser Schwachstellen ermöglicht es Angreifern, Administrator-Zugriff zu erlangen oder XSS-Angriffe durchzuführen. Partner-Software hat ein Patch in Version 4.32.2 veröffentlicht, um diese Sicherheitslücken zu beheben. Das Patch entfernt die Admin- und Edit-Benutzerrollen, bereinigt die Eingaben im Notizbereich und beschränkt Dateianhänge auf bestimmte Formate. Die betroffenen Versionen von Partner-Web sind 4.32 und früher. Informationen zum Patch finden Sie auf der Partner-Software-Website.