Zum Hauptinhalt gehen

Sicherheitsrelevante Information:

Sicherheitslücken in aQrate

I. Zusammenfassung der Sicherheitslücken

Betroffenes Produkt:
aQrate

Beschreibung:
Für die Webapplikation aQrate wurden vier Sicherheitsrisiken identifiziert:
  1. Offenlegung von Benutzerinformationen: In Umgebungen, in denen aQrate verwendet wird, können nicht administrierte Personen Benutzernamen und Passwörter erhalten, die vom aQrate Print Server verwaltet werden.
  2. Offenlegung der Print Server-Dateiliste: In Umgebungen, in denen aQrate über den Browser verwendet wird, kann die Verzeichnisstruktur von aQrate Print Server und Central Server eingesehen werden.
  3. Offenlegung von Benutzerinformationen: In Umgebungen, in den aQrate verwendet wird, können nicht administrierte Personen die von aQrate Print Server und Central Server verwaltete Benutzerliste via API abrufen.
  4. Remote-Code-Ausführung: In Umgebungen, in denen aQrate verwendet wird, kann ohne Berechtigungen Remotecode in Print Server ausgeführt werden. CVE-2021-31769
Zum Zeitpunkt dieser Veröffentlichung sind uns keine Angriffe bekannt, die diese Schwachstellen ausnutzen.

II. Lösungsbeschreibung

Die IT-Sicherheit von Kundinnen und Kunden hat für TA Triumph-Adler höchste Priorität. Um die Sicherheitslücken zu schliessen, ist eine aktualisierte Software verfügbar. Für den grösstmöglichen Schutz empfehlen wir ein Update auf die neueste Version 8.2 (Print Server/Central Server).