{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Apache Sling ist ein Open Source-Webframework für die Java-Plattform.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein lokaler Angreifer kann eine Schwachstelle in Apache Sling ausnutzen, um falsche Informationen darzustellen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- Windows\n- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-0471 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0471.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-0471 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0471"
    }, {
      "category" : "external",
      "summary" : "GitHub Security Advisory GHSA-mrpv-5pmr-p92h vom 2023-02-23",
      "url" : "https://github.com/advisories/GHSA-mrpv-5pmr-p92h"
    } ],
    "source_lang" : "en-US",
    "title" : "Apache Sling: Schwachstelle ermöglicht Darstellen falscher Informationen",
    "tracking" : {
      "current_release_date" : "2023-02-22T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:44:46.563+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-0471",
      "initial_release_date" : "2023-02-22T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-02-22T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Apache Sling < 2.6.2",
        "product" : {
          "name" : "Apache Sling < 2.6.2",
          "product_id" : "T026504",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:apache:sling:2.6.2"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Apache"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2023-25621",
    "notes" : [ {
      "category" : "description",
      "text" : "Es besteht eine Schwachstelle in Apache Sling. Die Erstellung von \"i18n dictionaries\" ist nicht auf bestimmte Rollen beschränkt, da jeder Benutzer mit der Berechtigung \"content author\" ein solches Dictionary erzeugen kann. Diese Dictionaries betreffen jedoch das gesamte Produkt und nicht nur den Teil, auf den der Benutzer Schreibrechte hat. Ein authentifizierter Angreifer kann dies ausnutzen, um Anzeigetexte innerhalb der betroffenen Anwendung zu ändern, um falsche Informationen anzuzeigen und andere Benutzer in die Irre zu führen."
    } ],
    "release_date" : "2023-02-22T23:00:00.000+00:00",
    "title" : "CVE-2023-25621"
  } ]
}