Ralph Meier konnte im Produkt VIWIS LMS 9.11, einer Learning Management Software, eine weitere Sicherheitslücke aufdecken. Es handelt sich dabei um eine Cross-Site-Scripting-Schwachstelle. Betroffen war der Parameter filename bei der Upload-Funktion innerhalb des Forums des LMS. Die öffentliche Freigabe wurde in Zusammenarbeit mit dem Hersteller koordiniert, die Schwachstelle als CVE-2024-8002 gehandelt. Die Schwachstelle wurde in der Version 9.12 behoben. Wir empfehlen daher, eingesetzte Versionen zu aktualisieren.

Links

• https://viwis.de/lms/
• https://vuldb.com/?id.290767
• https://www.cve.org/CVERecord?id=CVE-2024-8002

Tags