Author: Blume
Publication Date: 10/2/2020 14:40
The Navigation Service is part of our SaaS offering for CaaS v3 customers and offers the option of dynamically linking content from FirstSpirit in the navigation area of a website.
On October 1st, 2020 at 10:57 a.m. during an internal examination of the security mechanisms, it was discovered that unauthenticated write access to the Navigation Service was possible.
The gap was closed within an hour and could be traced back to a faulty configuration.
According to the current state of knowledge there are no indications of an exploitation of the security gap, so that no compromising of data records has taken place. The currently stored contents all correspond to the target state.
We are currently continuing to check for signs of possible data manipulation since the introduction of the Navigation Service and are updating the information at this point.
----- german version -----
Geschlossene Sicherheitslücke im Navigation Service
Der Navigation Service ist Bestandteil unseres SaaS-Offerings für CaaS v3 Kunden und bietet die Möglichkeit dynamisch Inhalte aus FirstSpirit im Navigationsbereich einer Webseite zu verlinken.
Am 1.10.2020 um 10:57 Uhr ist bei einer internen Prüfung der Sicherheitsmechanismen aufgefallen, dass unauthentifizierte Schreibzugriffe auf den Navigation Service möglich waren.
Die Lücke wurde innerhalb einer Stunde geschlossen und konnte auf eine fehlerhafte Konfiguration zurückgeführt werden.
Nach derzeitigem Kenntnisstand gibt es keine Hinweise auf eine Ausnutzung der Sicherheitslücke, so dass keine Kompromittierung von Datensätzen stattgefunden hat. Die aktuell gespeicherten Inhalte entsprechen alle dem Soll-Zustand.
Wir überprüfen derzeit weiter auf Anzeichen möglicher Datenmanipulationen seit Einführung des Navigation Service und aktualisieren die Informationen an dieser Stelle.
Comments
1 comment
UPDATE:
Result:
Various heuristics were used to analyze the data in order to exclude with high probability the existence of harmful data. This includes checking the data for expected structures (no unknown data attributes), validating external links to expected or known origins/domains, and excluding cross-site scripting code within all data attributes. The result of the analysis shows that no manipulated data was found.
----- german version -----
Ergebnis:
Zur Analyse der Daten wurden verschiedene Heuristiken benutzt, um mit hoher Wahrscheinlichkeit die Existenz schädlicher Daten auszuschließen. Darunter fallen die Überprüfung der Daten auf erwartete Strukturen (keine unbekannten Datenattribute), die Validierung externen Links auf erwartete oder bekannte Origins/Domains, sowie der Ausschluss von Cross-Site-Scripting Code innerhalb aller Datenattribute. Das Ergebnis der Analyse zeigt, dass keine manipulierten Daten gefunden wurden.
Please sign in to leave a comment.