Diverese Privilegieneskalationslücken in Atos Eviden IDPKI veröffentlicht

Eviden PSIRT hat ein Sicherheitsbulletin veröffentlicht, in dem drei Privilegieneskalationslücken in der IDPKI-Implementierung aufgezeigt werden. Die Schwachstellen, dokumentiert als CVE-2024-39327, CVE-2024-39328 und CVE-2024-51505, erlauben es einem internen Benutzer mit hohen Rechten, seine Befugnisse zu überschreiten und auf vertrauliche interne Daten zuzugreifen – ohne dabei jedoch den privaten Schlüssel der Zertifizierungsstelle zu gefährden. Die Sicherheitslücken werden als kritisch eingestuft und sollten umgehend gepatcht werden.

Die Analyse ergab, dass die Schwachstellen durch mangelhafte Überprüfungen interner Kommunikationsprozesse und eine Race Condition in der Systemlogik verursacht wurden. Dank eines zeitnahen Patch-Prozesses wurden die Fehler in den betroffenen Produkten behoben. Anwender von IDPKI-Produkten sollten die neuesten Updates (IDRA Version 2.7.1 oder höher) unverzüglich installieren und, sofern möglich, die Konfiguration der hoch privilegierten Rollen weiter einschränken.

Related Posts

CVE-2025-25064: SQL Injection in Zimbra

Zimbra ist eine weit verbreitete Collaboration- und Groupware-Plattform, die Unternehmen und Organisationen vor allem für E-Mail, Kalender, Kontakte und Aufgaben-Management nutzen. Die Lösung umfasst einen Server mit umfangreichen Funktionen (z. B. Webmail, mobile Synchronisierung) und wird häufig als On-Premises- oder Cloud-Variante eingesetzt.

Read More

KLEO-Theme-Plugin: Kritische Privilegieneskalations-Lücke behoben

Eine kritische Privilegieneskalation im K Elements Plugin – einem Bestandteil des beliebten KLEO WordPress-Themes – wurde behoben. Die Sicherheitslücke (CVE-2024-56000) beruht auf fehlerhafter Logik im Facebook Social-Login-Prozess.

Read More

CVE-2022-31631: PDO::quote() in PDO_SQLite führt zu SQL Injection

Eine kritische Sicherheitslücke (CVE-2022-31631) in PHPs PDO_SQLite-Komponente wurde veröffentlicht. In betroffenen PHP-Versionen (8.0.x vor 8.0.27, 8.1.x vor 8.1.15 und 8.2.x vor 8.2.2) kann die Funktion PDO::quote() bei der Verarbeitung von benutzerdefinierten, überlangen Strings einen unzureichend zitierten String zurückliefern – konkret lediglich ein einzelnes Apostroph.

Read More