Kritische Sicherheitslücke in Akana API Management Plattform

Eine schwerwiegende Sicherheitslücke wurde in der Akana Community Manager Developer Portal, einer populären API-Management-Plattform, identifiziert. Die Schwachstelle, bekannt unter der CVE-Nummer 2024-2796 mit CVE Index 9.3 / 10, ermöglichte eine Server-seitige Anfragefälschung (SSRF).

Die Sicherheitslücke betraf speziell Versionen bis einschließlich 2022.1.3 des Akana Community Manager Developer Portals. Durch die SSRF-Schwachstelle konnten unautorisierte externe Anfragen vom Server aus gestartet werden, was potenziell zu unerlaubtem Datenzugriff oder Manipulationen führen konnte. Die Schwachstelle wurde von Jakob Antonsson entdeckt und gemeldet.

Die betroffenen Versionen waren:

  • 2022.1.1
  • 2022.1.2
  • 2022.1.3

Für jede dieser Versionen wurde ein spezifischer Patch entwickelt und bereitgestellt, um die Schwachstelle zu adressieren. Die Patches tragen jeweils den Zusatz „CVE-2024-2796 Patch“.

Nutzer der Akana Community Manager Developer Portal werden dringend dazu aufgerufen, sicherzustellen, dass die neuesten Patches in ihren Systemen implementiert sind.

Related Posts

SQL-Injection in allen Grafana-Versionen möglich

Eine kritische Sicherheitslücke, die alle Versionen der Open-Source-Plattform Grafana für Monitoring und Observabilität betrifft, wurde kürzlich auf dem Blog von fdvoid0 bekannt gegeben. Die Schwachstelle ermöglicht es durch SQL-Injection, unautorisierten Zugriff auf Daten zu erlangen.

Read More

Jenkins: Exploit erlaubt unauthentifiziertes auslesen von Systemdateien

April 2024 – In Jenkins, eine weit verbreitete Automatisierungssoftware, wurde eine maximal kritische Schwachstelle (CVE-2024-23897) bekannt, die es ermöglicht durch spezielle Manipulation der Kommandozeilenschnittstelle (CLI) beliebige Dateien vom Zielsystem auszulesen. Die Schwere der Bedrohung mit fast maximaler CVSS Bewertung 9.8 / 10 wird durch die Existenz eines bereits veröffentlichten Proof of Concept (PoC) unterstrichen, welcher zeigt, das selbst Angreifer ohne Programmierkenntnisse die Schwachstelle ausnutzen können. Jenkins benutzt die Bibliothek args4j zur Analyse von Befehlsargumenten. Eine Funktion dieser Bibliothek ersetzt ein “@"-Zeichen in Befehlsargumenten automatisch durch den Inhalt der dahinter angegebenen Datei (expandAtFiles), wodurch Dateien auf dem Server ohne strenge Zugriffsbeschränkungen ausgelesen werden können. Betroffen sind alle Jenkins-Versionen bis einschließlich 2.441 und LTS 2.426.2.

Read More

Nespresso Website Open Redirect Schwachstelle für Phishing ausgenutzt

Im April 2024 entdeckte Perception Point einen Phishing-Feldzug, bei demCyberkriminelle eine offene Open Redirect Schwachstelle der Nespresso-Webseite ausnutzen, um Benutzer auf gefälschte Anmeldeseiten zu locken und ihre Microsoft-Anmeldedaten zu stehlen.

Read More