Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

CMS: Updates stopfen Sicherheitslecks in Progress Sitefinity

In dem Content Management System (CMS) Sitefinity von Progress klaffen zwei Sicherheitslücken. Die Entwickler haben sie als hohes Risiko eingestuft. Admins sollten zügig die bereitstehenden Aktualisierungen herunterladen und installieren.

Anzeige

Laut der Sicherheitsmitteilung von Progress führt eine unzureichende Filterung von Eingaben während der Webseitenerstellung im CMS-Backend zu einer Cross-Site-Scripting-Schwachstelle (CVE-2024-11626, CVSS 8.4, Risiko "hoch"). Zudem können unbefugt Informationen abfließen, die sich in Fehlermeldungen des CMS finden (CVE-2024-11625, CVSS 7.7, hoch). Wie diese Schwachstellen genau aussehen oder wie bösartige Akteure sie missbrauchen können, beschreibt Progress jedoch nicht.

Betroffen sind die Sitefinity-Versionen von 4.0 bis 14.4.8142, 15.0.8200 bis 15.0.8229, 15.1.8300 bis 15.1.8327 und 15.2.8400 bis einschließlich 15.2.8421. Für unterstützte Versionen von Sitefinity schließen die Updates auf Version 14.4 8143, 15.0 8230, 15.1 8328 und 15.2 8422 die Sicherheitslücken.

Die jüngste Fassung hingegen ist Progress Sitefinity 15.2 8423, erklärt der Hersteller. Nutzer von nicht mehr unterstützten Versionen sollten ihre Instanzen auf diese Version aktualisieren, empfiehlt Progress. Für die Aktualisierung stellt Progress zudem eine eigene Anleitung bereit, die auch Informationen zum Update der Cloud-Versionen enthält.

Das Portfolio von Progress ist sehr umfangreich. Dadurch finden sich immer wieder auch Produkte, bei denen Sicherheitslücken in freier Wildbahn angegriffen werden. Am bekanntesten ist dafür etwa Progress MoveIt Transfer. Die Cybergang Cl0p hatte durch Schwachstellen darin vielen namhaften Unternehmen Daten gestohlen und sie damit erpresst. Mitte November hatten sich bösartige Akteure eine Codeschmuggel-Lücke im Loadbalancer Progress Kemp Loadmaster attackiert.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Sicherheitsupdates: Bridge und Switch von HPE Arub...
Google: Device Fingerprinting ist okay
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image