Vielfältige Schwachstellen in BACKCLICK Professional (SYSS-2022-026 bis -037)

Security Advisories von Senior IT Security Consultants Moritz Bechler und Jannik Vieten

In BACKCLICK Professional (On-Premises), einer E-Mail-Marketinglösung, identifizierte die SySS im Rahmen einer Sicherheitsanalyse vielfältige Sicherheitsschwächen.

Mehrere Schwachstellen (SYSS-2022-027 sowie SYSS-2022-031 bis -034) sind zur Ausführung von Code bzw. Systemkommandos am Server, und damit zur Kompromittierung des Servers, geeignet.
Zwei dieser Angriffe ließen sich sogar über die externe Webschnittstelle von BACKCLICK Professional ohne Kenntnis von Zugangsdaten durchführen, weitere sind auf die internen Schnittstellen/Dienste beschränkt.

Auch gelang die Übernahme beliebiger Benutzeraccounts durch eine unsichere Umsetzung der "Passwort zurücksetzen"-Funktion sowie auch von Benutzersitzungen mittels Session Fixation-Angriff.
Durch vorhersagbare Identifikationsmerkmale in der Bestätigungsfunktion konnten darüber hinaus die E-Mail-Adressen sämtlicher Abonnenten abgefragt werden.

Daneben führen Schwächen in der Eingabeverarbeitung von BACKCLICK Professional zu einer Anfälligkeit für Cross-Site Scripting- sowie auch SQL Injection-Angriffe, wodurch ein Angreifer unautorisierten Zugriff auf Anwendungsdaten erhalten kann.

Details zur Beseitigung der Schwachstellen durch den Hersteller liegen der SySS derzeit nicht vor.

Detaillierte Informationen zu den gefundenen Schwachstellen finden Sie in unseren Security Advisories / You will find detailed information about these security issues in our Security Advisories:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer