Security Advisory von Primion

Betrifft: CVE-2023-40298

  • Version: 1.0
  • Klassifizierung der Daten: Extern
  • Erstellungsdatum: 09/08/2023
  • Datum der Überprüfung: 01/09/2023
  • Name und Titel des Erstellers/Autors: Luka Kolb, Beauftragter für Informationssicherheit
  • Zielgruppe: Primion-Mitarbeiter, Besitzer von prime WebSystems

1. Zusammenfassung

Es wurde eine unsichere IDOR-Schwachstelle (Insecure Direct Object Reference) entdeckt, die es einem authentifizierten Benutzer ermöglicht, Anforderungsinformationen für andere Benutzer des Systems anzuzeigen.

Die Schwachstelle gilt nur für Systeme, bei denen der Parameter „Workflow mit Autorisierung“ auf inaktiv gesetzt ist.

2. CVE-Details

CVEID: CVE-2023-40298
CVE 3.1 Basisbewertung: 2.8

3. Betroffene Produkte und Versionen

  • Alle Versionen unterhalb von prime WebSystems v164.3 sind betroffen.
  • Alle Plattformen sind betroffen.

4. Abhilfemaßnahmen/Fixes

Der Fix für die Schwachstelle ist im Fixpack 163.11 und in prime WebSystems Version 164.3.1 enthalten.

5. Kontakt

Für weitere Informationen über den Status der Behebung der Schwachstelle kontaktieren Sie bitte unseren ServiceDesk:
E-Mail: support@remove-this.primion.eu
Telefon: +49 7573 952-777

Bei Sicherheitsanfragen wenden Sie sich bitte an das Primion CSIRT:
CSIRT@remove-this.primion.eu oder isecurity@remove-this.primion.eu.

to top
Rufen Sie uns an + 49 7573 9520

oder vereinbaren Sie einen Rückruf:

close