{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "ILIAS ist eine Open Source e-Learning Lösung.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein Angreifer kann mehrere Schwachstellen in ILIAS ausnutzen, um seine Privilegien zu erhöhen, Informationen offenzulegen und einen Cross Site Scripting Angriff durchzuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- Windows\n- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-2327 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-2327.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-2327 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2327"
    }, {
      "category" : "external",
      "summary" : "Ilias Release Notes vom 2023-09-12",
      "url" : "https://docu.ilias.de/ilias.php?baseClass=illmpresentationgui&obj_id=152235&ref_id=35"
    } ],
    "source_lang" : "en-US",
    "title" : "ILIAS: Mehrere Schwachstellen",
    "tracking" : {
      "current_release_date" : "2023-09-12T22:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:58:20.025+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-2327",
      "initial_release_date" : "2023-09-12T22:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-09-12T22:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Open Source ILIAS < 7.25",
        "product" : {
          "name" : "Open Source ILIAS < 7.25",
          "product_id" : "T029788",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:ilias:ilias:7.25"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Open Source"
    } ]
  },
  "vulnerabilities" : [ {
    "notes" : [ {
      "category" : "description",
      "text" : "Es existieren mehrere Schwachstellen in ILIAS. Diese bestehen aufgrund einer fehlerhaften Kodierung von Textlückeneinträgen für Lückentexte, einer XSS-Injektion im Glossar, einer möglichen Änderung des Root-Passworts durch Nicht-Admin-Benutzer und einer unzureichenden RBAC-Prüfung zur Anzeige des Papierkorbes im Repository-Baum. Ein Angreifer kann diese Schwachstellen ausnutzen, um einen Cross Site Scripting Angriff durchzuführen, seine Rechte zu erweitern, und Informationen offenzulegen. Zur Ausnutzung einiger dieser Schwachstellen ist eine Interaktion des Nutzers notwendig."
    } ],
    "release_date" : "2023-09-12T22:00:00.000+00:00"
  } ]
}