{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Progress Sitefinity ist eine .NET Web Content Management Plattform.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter Angreifer kann mehrere Schwachstellen in Progress Software Sitefinity ausnutzen, um Informationen offenzulegen und einen Cross-Site-Scripting-Angriff durchzuführen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2025-0015 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0015.json" }, { "category" : "self", "summary" : "WID-SEC-2025-0015 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0015" }, { "category" : "external", "summary" : "Sitefinity Security Advisory vom 2025-01-06", "url" : "https://community.progress.com/s/article/ka7Pb000000QKUXIA4" }, { "category" : "external", "summary" : "CVE Record Information vom 2025-01-06", "url" : "https://www.cve.org/CVERecord?id=CVE-2024-11625" }, { "category" : "external", "summary" : "CVE Record Information vom 2025-01-06", "url" : "https://www.cve.org/CVERecord?id=CVE-2024-11626" } ], "source_lang" : "en-US", "title" : "Progress Software Sitefinity: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2025-01-06T23:00:00.000+00:00", "generator" : { "date" : "2025-01-07T11:42:19.766+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.10" } }, "id" : "WID-SEC-W-2025-0015", "initial_release_date" : "2025-01-06T23:00:00.000+00:00", "revision_history" : [ { "date" : "2025-01-06T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "<15.2 8422", "product" : { "name" : "Progress Software Sitefinity <15.2 8422", "product_id" : "T040031" } }, { "category" : "product_version", "name" : "15.2 8422", "product" : { "name" : "Progress Software Sitefinity 15.2 8422", "product_id" : "T040031-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:progress:sitefinity:15.2_8422" } } }, { "category" : "product_version_range", "name" : "<15.1 8328", "product" : { "name" : "Progress Software Sitefinity <15.1 8328", "product_id" : "T040032" } }, { "category" : "product_version", "name" : "15.1 8328", "product" : { "name" : "Progress Software Sitefinity 15.1 8328", "product_id" : "T040032-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:progress:sitefinity:15.1_8328" } } }, { "category" : "product_version_range", "name" : "<15.0 8230", "product" : { "name" : "Progress Software Sitefinity <15.0 8230", "product_id" : "T040033" } }, { "category" : "product_version", "name" : "15.0 8230", "product" : { "name" : "Progress Software Sitefinity 15.0 8230", "product_id" : "T040033-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:progress:sitefinity:15.0_8230" } } }, { "category" : "product_version_range", "name" : "<14.4 8143", "product" : { "name" : "Progress Software Sitefinity <14.4 8143", "product_id" : "T040034" } }, { "category" : "product_version", "name" : "14.4 8143", "product" : { "name" : "Progress Software Sitefinity 14.4 8143", "product_id" : "T040034-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:progress:sitefinity:14.4_8143" } } } ], "category" : "product_name", "name" : "Sitefinity" } ], "category" : "vendor", "name" : "Progress Software" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-11625", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in Progress Software Sitefinity, die auf zu ausführliche Fehlermeldungen zurückzuführen ist. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen." } ], "product_status" : { "known_affected" : [ "T040032", "T040031", "T040034", "T040033" ] }, "release_date" : "2025-01-06T23:00:00.000+00:00", "title" : "CVE-2024-11625" }, { "cve" : "CVE-2024-11626", "notes" : [ { "category" : "description", "text" : "In Progress Software Sitefinity existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden im \"CMS Backend (adminstrative section)\" nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, authentisierter Angreifer mit erhöhten Rechten kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich." } ], "product_status" : { "known_affected" : [ "T040032", "T040031", "T040034", "T040033" ] }, "release_date" : "2025-01-06T23:00:00.000+00:00", "title" : "CVE-2024-11626" } ] }