Eine schwerwiegende Sicherheitslücke wurde in Qlik Sense Enterprise für Windows entdeckt, die es einem entfernten Angreifer ermöglicht, seine Privilegien zu erweitern und dadurch Befehle auf dem Server auszuführen. Betroffen sind alle Versionen vor 14.187.4. Diese Schwachstelle wurde vor zwei Tagen in der GitHub Advisory Database veröffentlicht und hat die CVE-ID CVE-2024-36077.
Die Sicherheitslücke entsteht durch eine unzureichende Validierung innerhalb der Software, wodurch ein Angreifer seine Privilegien auf die interne Systemrolle erhöhen kann. Diese erhöhte Berechtigung erlaubt es dem Angreifer, Befehle auf dem betroffenen Server auszuführen. Betroffen sind mehrere Patches aus den letzten Jahren:
- Februar 2024 Patch 3 (14.173.3 bis 14.173.7)
- November 2023 Patch 8 (14.159.4 bis 14.159.13)
- August 2023 Patch 13 (14.139.3 bis 14.139.20)
- Mai 2023 Patch 15 (14.129.3 bis 14.129.22)
- Februar 2023 Patch 13 (14.113.1 bis 14.113.18)
- November 2022 Patch 13 (14.97.2 bis 14.97.18)
- August 2022 Patch 16 (14.78.3 bis 14.78.23)
- Mai 2022 Patch 17 (14.67.7 bis 14.67.31)
Diese Schwachstelle wurde in folgenden Versionen behoben:
- Mai 2024 (14.187.4)
- Februar 2024 Patch 4 (14.173.8)
- November 2023 Patch 9 (14.159.14)
- August 2023 Patch 14 (14.139.21)
- Mai 2023 Patch 16 (14.129.23)
- Februar 2023 Patch 14 (14.113.19)
- November 2022 Patch 14 (14.97.19)
- August 2022 Patch 17 (14.78.25)
- Mai 2022 Patch 18 (14.67.34)
Die Sicherheitslücke wurde mit einer CVSS-Basisbewertung von 8.8 als hoch eingestuft. Die wichtigsten CVSS-Metriken sind:
- Angriffsvektor: Netzwerk
- Angriffskomplexität: Niedrig
- Erforderliche Privilegien: Niedrig
- Benutzerinteraktion: Keine
- Vertraulichkeit: Hoch
- Integrität: Hoch
- Verfügbarkeit: Hoch
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Es wird dringend empfohlen, auf die gepatchte Version 14.187.4 oder höher zu aktualisieren, um diese Sicherheitslücke zu schließen. Benutzer und Administratoren von Qlik Sense Enterprise für Windows sollten sicherstellen, dass ihre Systeme auf dem neuesten Stand sind, um das Risiko einer Ausnutzung zu minimieren.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: