WID-SEC-W-2023-2321

Vulnerability from csaf_certbund - Published: 2023-09-12 22:00 - Updated: 2023-09-12 22:00
Summary
BlackBerry AtHoc Server: Mehrere Schwachstellen
Severity
Mittel
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: Blackberry stellt mobile Endgeräte sowie zugehörige Management-Tools zur Verfügung
Angriff: Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in BlackBerry AtHoc Server ausnutzen, um Informationen offenzulegen, SQL-Injection-Angriffe durchzuführen und Cross-Site-Scripting-Angriffe zu starten.
Betroffene Betriebssysteme: - Blackberry
CVE-2023-21523

In der BlackBerry AtHoc Management Console existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich.

CVE-2023-21522

In der BlackBerry AtHoc Management Console existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich.

CVE-2023-21521

Es existiert eine SQL-Injection Schwachstelle in der BlackBerry AtHoc Management Console. Ein Angreifer kann dadurch Informationen in der Datenbank offenlegen oder manipulieren. Zur Ausnutzung ist entweder eine Nutzeraktion oder eine Authentisierung erforderlich.

CVE-2023-21520

Es besteht eine Schwachstelle in BlackBerry AtHoc in der Self Service-Komponente. Kontowiederherstellungsformulare zeigen an, ob eine bestimmte Telefonnummer oder E-Mail-Adresse gefunden wurde. Ein authentifizierter Angreifer kann dies ausnutzen, um Informationen über Benutzerkonten abzufragen.

References
To clipboard 

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Blackberry stellt mobile Endger\u00e4te sowie zugeh\u00f6rige Management-Tools zur Verf\u00fcgung",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in BlackBerry AtHoc Server ausnutzen, um Informationen offenzulegen, SQL-Injection-Angriffe durchzuf\u00fchren und Cross-Site-Scripting-Angriffe zu starten.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Blackberry",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-2321 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2321.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-2321 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2321"
      },
      {
        "category": "external",
        "summary": "BlackBerry Security Advisory BSRT-2023-001 vom 2023-09-12",
        "url": "https://support.blackberry.com/kb/articleDetail?language=en_US\u0026articleNumber=000112406"
      }
    ],
    "source_lang": "en-US",
    "title": "BlackBerry AtHoc Server: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-09-12T22:00:00.000+00:00",
      "generator": {
        "date": "2024-08-15T17:58:18.688+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.5"
        }
      },
      "id": "WID-SEC-W-2023-2321",
      "initial_release_date": "2023-09-12T22:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-09-12T22:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "BlackBerry BlackBerry AtHoc Server 7.15",
            "product": {
              "name": "BlackBerry BlackBerry AtHoc Server 7.15",
              "product_id": "T029803",
              "product_identification_helper": {
                "cpe": "cpe:/o:blackberry:blackberry_os:7.15::athoc_server"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "BlackBerry"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-21523",
      "notes": [
        {
          "category": "description",
          "text": "In der BlackBerry AtHoc Management Console existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T029803"
        ]
      },
      "release_date": "2023-09-12T22:00:00.000+00:00",
      "title": "CVE-2023-21523"
    },
    {
      "cve": "CVE-2023-21522",
      "notes": [
        {
          "category": "description",
          "text": "In der BlackBerry AtHoc Management Console existieren mehrere Cross-Site Scripting Schwachstellen. HTML und Script-Eingaben werden nicht ordnungsgem\u00e4\u00df \u00fcberpr\u00fcft, bevor sie an den Benutzer zur\u00fcckgegeben werden. Ein entfernter Angreifer kann durch Ausnutzung dieser Schwachstellen beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausf\u00fchren. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T029803"
        ]
      },
      "release_date": "2023-09-12T22:00:00.000+00:00",
      "title": "CVE-2023-21522"
    },
    {
      "cve": "CVE-2023-21521",
      "notes": [
        {
          "category": "description",
          "text": "Es existiert eine SQL-Injection Schwachstelle in der BlackBerry AtHoc Management Console. Ein Angreifer kann dadurch Informationen in der Datenbank offenlegen oder manipulieren. Zur Ausnutzung ist entweder eine Nutzeraktion oder eine Authentisierung erforderlich."
        }
      ],
      "product_status": {
        "known_affected": [
          "T029803"
        ]
      },
      "release_date": "2023-09-12T22:00:00.000+00:00",
      "title": "CVE-2023-21521"
    },
    {
      "cve": "CVE-2023-21520",
      "notes": [
        {
          "category": "description",
          "text": "Es besteht eine Schwachstelle in BlackBerry AtHoc in der Self Service-Komponente. Kontowiederherstellungsformulare zeigen an, ob eine bestimmte Telefonnummer oder E-Mail-Adresse gefunden wurde. Ein authentifizierter Angreifer kann dies ausnutzen, um Informationen \u00fcber Benutzerkonten abzufragen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T029803"
        ]
      },
      "release_date": "2023-09-12T22:00:00.000+00:00",
      "title": "CVE-2023-21520"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.