Sicherheitsupdates für Sitefinity: Wichtige Informationen für Admins

Das Content Management System (CMS) Sitefinity von Progress hat zwei bedeutsame Sicherheitslücken offenbart. Diese Schwachstellen wurden von den Entwicklern als hochriskant eingestuft. Es ist für Administratoren dringend erforderlich welche zur Verfügung stehenden Updates schnell herunterzuladen und zu installieren.



Details zu den Sicherheitslücken


Laut der Sicherheitsmitteilung von Progress existiert eine unzureichende Filterung von Eingaben im CMS-Backend während der Webseitenerstellung. Dies führt zu einer Cross-Site-Scripting-Schwachstelle (CVE-2024-11626, CVSS 8.4). Gleichzeitig können unbefugte Informationen aus Fehlermeldungen des CMS abfließen (CVE-2024-11625, CVSS 7.7). Die genaue Ausgestaltung dieser Schwachstellen bleibt jedoch in der Mitteilung von Progress unklar.



Betroffene Versionen & Update-Informationen


Getroffen von diesen Sicherheitsanfälligkeiten sind die Sitefinity-Versionen von 4.0 bis 14.4.8142 und ebenfalls 15.0.8200 bis 15.0.8229, 15.1.8300 bis 15.1.8327 und 15.2.8400 bis einschließlich 15.2.8421. Sicherer sind die unterstützten Versionen von Sitefinity die durch folgende Updates gesichert werden: 14.4 8143, 15.0 8230, 15.1 8328 und 15.2 8422. Der Hersteller bietet die neueste Version Progress Sitefinity 15.2 8423, an.



Progress empfiehlt dringend den Nutzern von mittlerweile nicht weiterhin unterstützten Versionen, ihre Instanzen auf diese aktuelle Version zu aktualisieren. Zudem stellt das Unternehmen eine detaillierte Anleitung für die Aktualisierung zur Verfügung. Dies umfasst auch Informationen zum Update der Cloud-Versionen.



Übergreifende Sicherheitslage


Das Portfolio von Progress erstreckt sich über viele Produkte. Somit treten immer mal wieder Sicherheitslücken auf die in der freien Wildbahn ausgenutzt werden. Besonders auffällig ist das Beispiel von Progress MoveIt Transfer – hier hatten die Cyberkriminellen der Gruppe Cl0p erfolgreiche Angriffe auf namhafte Unternehmen durchgeführt & Daten gestohlen um diese zu erpressen. Im November erregte zudem ein Angriff auf eine Codeschmuggel-Lücke im Loadbalancer Progress Kemp Loadmaster die Aufmerksamkeit.



Die Sicherheit von Webanwendungen bleibt also ein kritisches Thema und erfordert dauerhafte Updates sowie Aufmerksamkeit von Administratoren.






Kommentare


Anzeige