7.5.1 Release Notes
von Bence Nagy
Wichtige Sicherheitsverbesserungen und Fehlerbehebungen
Wir freuen uns, Ihnen die Version 7.5.1 von Allegra vorstellen zu können, die sehr wichtige Sicherheitsverbesserungen und Erweiterungen für eine bessere Benutzerfreundlichkeit enthält. Dieses Update ist Teil unseres Engagements, Ihnen kontinuierlich ein sicheres und effizientes Produkt anzubieten.
Um die unten aufgeführten Sicherheitslücken zu schließen, wird dringend empfohlen, auf die neueste Allegra-Version 7.5.1 zu aktualisieren. Bei der Installation wird für jedes in der Tabelle unten aufgeführte CVE, außer CVE-2023-22360, ein Fix angewendet. Cloud-Kunden müssen keine Maßnahmen ergreifen, da wir ihre Instanzen unmittelbar nach der Offenlegung aktualisiert haben.
Weiterer Hinweis zu CVE-2023-22360 für On-Premise-Kunden: Bitte überprüfen Sie, ob Sie das Allegra Datenbank-Standardpasswort nach der Installation geändert haben.
Sie können die neueste Allegra-Version 7.5.1 hier herunterladen.
Die Allegra-Version 7.5.1 enthält Korrekturen zur Sicherheitsverstärkung für die folgenden Probleme:
| CVE-ID | Betroffene Produkte | CVSS Score + Vector | CVE Beschreibung |
| CVE-2024-22507 | Allegra Versionen älter als 7.5.1 | 7.5 – High CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Eine Schwachstelle für willkürlichen Dateizugriff, die von authentifizierten Benutzern ausgenutzt werden kann, einschließlich solcher mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann. |
| CVE-2024-22530 | Allegra Versionen älter als 7.5.1 | 7.5 – High CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
|
| CVE-2024-22532 | Allegra Versionen älter als 7.5.1 | 7.5 – HIgh CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Unauthentifizierte Schwachstelle für willkürlichen Dateizugriff. Sie erfordert das Vorhandensein des Verzeichnisses C:\Allegra\plugins\tp-math. |
| CVE-2024-22513 | Allegra Versionen älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Ausführung von Remote-Code nach Authentifizierung aufgrund einer Verzeichnistraversierungs-Schwachstelle während der Backup-Wiederherstellungsoperation. Admin-Rechte sind für die Ausnutzung erforderlich. |
| CVE-2024-22512 | Allegra Versionen älter als 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Unauthentifizierte Remote-Code-Ausführung aufgrund unzureichender Zugriffskontrolle in der Struts "SiteConfigAction"-Aktion der Allegra-Software. |
| CVE-2024-22510 | Allegra Versionen älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Post-Authentifizierung Remote-Code-Ausführung aufgrund einer Directory-Traversierungs-Schwachstelle in der Methode uploadFile der Klasse BrandingAction. Administratorenrechte sind für die Ausnutzung erforderlich. |
| CVE-2024-22548 | Allegra Versionen älter als 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Remote-Code-Ausführung, die von jedem authentifizierten Benutzer ausgenutzt werden kann, einschließlich derjenigen mit einer Gastrolle. Diese Schwachstelle wird als nicht authentifiziert behandelt, da bei Aktivierung des anonymen Zugriffs sich jeder anmelden kann. |
| CVE-2024-22506 | Allegra Versionen älter als 7.5.1 | ||
| CVE-2024-22505 | Allegra Versionen älter als 7.5.1 | ||
| CVE-2024-22504 | Allegra Versionen älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nach der Authentifizierung erfolgt eine Remote-Code-Ausführung aufgrund einer Verzeichnistraversierbarkeitslücke während eines Datei-Upload-Vorgangs. Admin-Berechtigungen sind für die Ausnutzung erforderlich. |
| CVE-2023-22528 | Allegra Versionen älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
|
| CVE-2023-22527 | Allegra Versionen älter als 7.5.1 | 7.2 – High CVSS:AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
|
| CVE-2023-22361 | Allegra Versionen älter als 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Verzeichnistraversierungs-Authentifizierungsbypass-Schwachstelle. |
| CVE-2023-01-22360 | Allegra Versionen älter als 7.5.1 | 9.8 – Critical CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Authentifizierungsbypass aufgrund von festcodierten Anmeldeinformationen. Der kritische Aspekt dieser Schwachstelle liegt darin, dass jede Allegra-Installation dasselbe standardmäßige Datenbankpasswort verwendet, das möglicherweise nach der Installation nicht geändert wird. Diese Schwachstelle betrifft nur Kunden mit On-Premise-Installationen. Wir empfehlen dringend, die Datenbankpasswörter nach der Installation von Allegra zu ändern. |
Kommentare
Einen Kommentar schreiben