{ "document" : { "aggregate_severity" : { "text" : "mittel" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "SoapUI ist eine Web-Service-Testanwendung für serviceorientierte Architekturen (SOA) und Representational State Transfers (REST).", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, anonymer Angreifer kann eine Schwachstelle in SmartBear SoapUI ausnutzen, um beliebigen Programmcode auszuführen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-1782 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1782.json" }, { "category" : "self", "summary" : "WID-SEC-2024-1782 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1782" }, { "category" : "external", "summary" : "ZDI Advisory vom 2024-08-06", "url" : "https://www.zerodayinitiative.com/advisories/ZDI-24-1100/" } ], "source_lang" : "en-US", "title" : "SmartBear SoapUI: Schwachstelle ermöglicht Codeausführung", "tracking" : { "current_release_date" : "2024-08-06T22:00:00.000+00:00", "generator" : { "date" : "2024-08-15T18:12:01.875+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2024-1782", "initial_release_date" : "2024-08-06T22:00:00.000+00:00", "revision_history" : [ { "date" : "2024-08-06T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "SmartBear SoapUI", "product" : { "name" : "SmartBear SoapUI", "product_id" : "T036635", "product_identification_helper" : { "cpe" : "cpe:/a:smartbear:soapui:-" } } } ], "category" : "vendor", "name" : "SmartBear" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-7565", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in SmartBear SoapUI. Dieser Fehler besteht in der Funktion unpackageAll aufgrund einer unsachgemäßen Validierung eines vom Benutzer angegebenen Pfades, was zu einem Directory Traversal Problem führt. Ein entfernter, anonymer Angreifer kann diese Schwachstelle zur Ausführung von beliebigem Code ausnutzen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion." } ], "product_status" : { "known_affected" : [ "T036635" ] }, "release_date" : "2024-08-06T22:00:00.000+00:00", "title" : "CVE-2024-7565" } ] }