Anmerkungen zur Version für PCP-Sicherheitsupdates
Diese Anmerkungen zur Version enthalten Informationen zu Sicherheitsupdates, die in den Updates für PCP enthalten sind
26 August 2019
CVE-2019-1085 | SEMYOU PCP Information Disclosure Vulnerability
Security Vulnerability
Published: 08/01/2019
Es liegt eine Sicherheitsanfälligkeit bezüglich der Manipulation von Cookies vor, in dem Inhalte von anderen Projekten ermittelt werden können. Ein Angreifer mit gültigem Zugang zu dem System, der die Sicherheitsanfälligkeit ausnutzt, kann unberechtigte Informationen von Projekten erhalten.
Um die Sicherheitsanfälligkeit auszunutzen, muss der Angreifer sich mit einem gültigen Benutzerkonto an PCP anmelden, eine gültige PCP – Lizenz besitzen und die Voraussetzung gegeben sein, dass ein anderer Benutzer den gleichen PC verwendet hat. Der Angreifer muss des weiteren, detaillierte Kenntnisse über die Zugänge von mehreren Benutzern besitzen, die den denselben PC verwenden, um die Cookie-Manipulation durchführen zu können.
Das Update behebt die Sicherheitsanfälligkeit, indem eine zusätzliche Prüfung etabliert wurde, um die Manipulation von Cookies auf einem PC zu verhindern.
CVE-2019-1084 | SEMYOU PCP Information Disclosure Vulnerability
Security Vulnerability
Published: 08/01/2019
Es liegt eine Sicherheitsanfälligkeit bezüglich der "Erweiterten Abfragen" vor, in dem Inhalte durch manuelle Manipulation der ausgeführten Abfrage, ermittelt werden können. Ein Angreifer mit gültigem Zugang zu dem System, der die Sicherheitsanfälligkeit ausnutzt, kann unberechtigte Informationen erhalten.
Um die Sicherheitsanfälligkeit auszunutzen, muss der Angreifer ein Benutzerkonto besitzen, eine gültige PCP-Lizenz besitzen und sich mit einem Benutzerkonto anmelden, um die gesendete POST Anfrage einer "Erweiterten Abfrage" manuell zu manipulieren. Neben einem gültigen Benutzerkonto, muss der Angreifer detaillierte Kenntnisse und Fähigkeiten besitzen.
Das Update behebt die Sicherheitsanfälligkeit, indem zusätzliche Sicherheitsprüfungen erfolgen und die Manipulation von Abfragen verhindert werden.
26 Juli 2019
CVE-2019-1083 | SEMYOU PCP Information Disclosure Vulnerability
Security Vulnerability
Published: 07/26/2019
Es liegt eine Sicherheitsanfälligkeit bezüglich der Anmeldung an SEMYOU PCP vor, in dem die Anmeldung durch ausführbaren Code ergänzt wird, um die Anmeldung zu manipulieren. Ein Angreifer, der die Sicherheitsanfälligkeit ausnutzt, kann ein Benutzerkonto durch Falscheingabe deaktivieren.
Um die Sicherheitsanfälligkeit auszunutzen, muss der Angreifer Kenntnis über die geheime Domain und den Benutzername eines Benutzers haben.
Das Update behebt die Sicherheitsanfälligkeit, indem zusätzliche Sicherheitsprüfungen erfolgen und schadhafter Code eliminiert wird.
CVE-2019-1082 | SEMYOU PCP Information Disclosure Vulnerability
Security Vulnerability
Published: 07/26/2019
Es liegt eine Sicherheitsanfälligkeit bezüglich des Berechtigungsmanagements vor, in dem ein Benutzer erweiterte Berechtigungen für ein Projekt im Bereich Arbeitselemente enthält. Ein Angreifer, der die Sicherheitsanfälligkeit ausnutzt, kann auf ein Arbeitselement zugreifen und die entsprechenden Elemente einsehen.
Um die Sicherheitsanfälligkeit auszunutzen, muss der Angreifer ein gültiges Benutzerkonto zu einer Domäne, eine gültige PCP Lizenz und Zugriff auf ein Projekt besitzen.
Das Update behebt die Sicherheitsanfälligkeit, indem das Berechtigungsmanagement überarbeitet wurde.