Kritische SQL-Injection-Schwachstelle in 1Panel gefunden

In der Software 1Panel wurde eine kritische SQL-Injection-Schwachstelle entdeckt, die mit der orderBy-Klausel zusammenhängt. Diese Schwachstelle, die als CVE-2024-39907 identifiziert wurde, ermöglicht Remote Code Execution (RCE) und Datenlecks.

Betroffen sind alle Versionen von 1Panel vor 1.10.12-tls. Die Schwachstelle wurde vor vier Tagen im GitHub Advisory Database und der National Vulnerability Database veröffentlicht. Ein Proof of Concept (PoC) zeigt, dass durch Manipulation der orderBy-Klausel beliebige Dateioperationen und letztlich RCEs möglich sind.

Die Schwachstelle hat eine kritische CVSS-Basisbewertung von 9.8/10. Benutzer sollten dringend auf die gepatchte Version 1.10.12-tls aktualisieren.

Related Posts

Datenpanne bei Fluggesellschaft SunExpress – 596.000 E-Mail-Adressen gestohlen

22.07.2024 Die Fluggesellschaft SunExpress hat bekannt gegeben, dass Cyberkriminelle die E-Mail-Adressen von insgesamt 596.000 Kunden gestohlen haben. Die Angreifer verschafften sich über ein Administratorkonto Zugang zum System der Fluggesellschaft und nutzten die erbeuteten Adressen für Phishing-Angriffe.

Read More

Kritische Sicherheitslücke im Oracle WebLogic Server

Eine kritische Sicherheitslücke in Oracle WebLogic Server, einem Teil von Oracle Fusion Middleware, wurde am 16.7.24 in der GitHub Advisory Database veröffentlicht. Betroffen sind die Versionen 12.2.1.4.0 und 14.1.1.0.0 des Produkts. Diese Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, der über das Netzwerk über T3 oder IIOP auf den Server zugreifen kann, die Kontrolle über den Oracle WebLogic Server zu übernehmen. Die Sicherheitslücke hat eine CVSS 3.1 Basisbewertung von 9.8, was auf erhebliche Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit hinweist.

Read More

Gefährliche Schwachstellen in SAP AI Core entdeckt

Wiz Research hat im Juli 2024 schwerwiegende Sicherheitslücken in SAP AI Core aufgedeckt, die es Angreifern ermöglichen, den Dienst zu übernehmen und auf Kundendaten zuzugreifen. Diese Schwachstellen könnten die Cloud-Umgebungen der Kunden und private AI-Artefakte gefährden.

Read More