CMS: Updates stopfen Sicherheitslecks in Progress Sitefinity

In dem Content Management System (CMS) Sitefinity von Progress klaffen zwei Sicherheitslücken. Die Entwickler haben sie als hohes Risiko eingestuft. Admins sollten zügig die bereitstehenden Aktualisierungen herunterladen und installieren.

Laut der Sicherheitsmitteilung von Progress führt eine unzureichende Filterung von Eingaben während der Webseitenerstellung im CMS-Backend zu einer Cross-Site-Scripting-Schwachstelle (CVE-2024-11626, CVSS 8.4, Risiko "hoch"). Zudem können unbefugt Informationen abfließen, die sich in Fehlermeldungen des CMS finden (CVE-2024-11625, CVSS 7.7, hoch). Wie diese Schwachstellen genau aussehen oder wie bösartige Akteure sie missbrauchen können, beschreibt Progress jedoch nicht.

Sitefinity: Betroffene Versionen

Betroffen sind die Sitefinity-Versionen von 4.0 bis 14.4.8142, 15.0.8200 bis 15.0.8229, 15.1.8300 bis 15.1.8327 und 15.2.8400 bis einschließlich 15.2.8421. Für unterstützte Versionen von Sitefinity schließen die Updates auf Version 14.4 8143, 15.0 8230, 15.1 8328 und 15.2 8422 die Sicherheitslücken.

Die jüngste Fassung hingegen ist Progress Sitefinity 15.2 8423, erklärt der Hersteller. Nutzer von nicht mehr unterstützten Versionen sollten ihre Instanzen auf diese Version aktualisieren, empfiehlt Progress. Für die Aktualisierung stellt Progress zudem eine eigene Anleitung bereit, die auch Informationen zum Update der Cloud-Versionen enthält.

Lesen Sie auch

Lücken in FortiClient, Kemp Loadmaster, PAN-OS und VMware vCenter attackiert

Das Portfolio von Progress ist sehr umfangreich. Dadurch finden sich immer wieder auch Produkte, bei denen Sicherheitslücken in freier Wildbahn angegriffen werden. Am bekanntesten ist dafür etwa Progress MoveIt Transfer. Die Cybergang Cl0p hatte durch Schwachstellen darin vielen namhaften Unternehmen Daten gestohlen und sie damit erpresst. Mitte November hatten sich bösartige Akteure eine Codeschmuggel-Lücke im Loadbalancer Progress Kemp Loadmaster attackiert.

(dmk)