Themen dieses Artikels
Was sind DRACOON Sicherheits-Updates?
Sicherheits-Updates sind aktualisierte Versionen von DRACOON-Komponenten, für die ein sicherheitsrelevanter Fehler identifiziert bzw. gemeldet wurde.
Ein sicherheitsrelevanter Fehler ist eine Schwachstelle in der Software, die unter bestimmten Voraussetzungen ausgenutzt werden kann, um unerlaubt Zugriff auf schützenswerte Daten zu erlangen.
Schwachstellen werden ab Mitte Juli 2020 in DRACOON nach dem Schweregrad bewertet – dafür wird der sogenannte CVSS-Score (Common Vulnerability Scoring System) verwendet, der anhand bestimmter Faktoren (sogenannte Metrics) einen Vergleich zwischen verschiedenen Schwachstellen ermöglicht.
Je höher der Wert ist, desto schwerer wurde die Schwachstelle bewertet:
| CVSS-Score | Schweregrad |
|---|---|
| 9.0–10.0 |
kritisch
|
| 7.0–8.9 |
hoch
|
| 4.0–6.9 |
mittel
|
| bis 3.9 |
niedrig
|
DRACOON veröffentlicht zudem Sicherheitsbulletins, um über bekannte Schwachstellen in verwendeten Komponenten zu informieren.
Wie erhalte ich DRACOON Sicherheits-Updates?
Als Bestandskunde der DRACOON Cloud erhalten Sie sicherheitsrelevante Updates umgehend, sobald diese verfügbar sind und entsprechend getestet wurden.
Für Clients (DRACOON für Windows / Mac, DRACOON für Outlook, DRACOON für iOS und DRACOON für Android) werden über die DRACOON-Seite Downloads der neuesten Versionen bereitgestellt:
Für die mobilen Apps (DRACOON für iOS und Android) werden Updates über die jeweiligen Stores (App Store, Google Play Store) verteilt und ausgerollt.
Sollte bei den Desktop-Applikationen (DRACOON für Windows/Mac oder DRACOON für Outlook) ein sicherheitsrelevantes Update bereitstehen, informieren wir alle Bestandskunden.
DRACOON Security Advisories
Seit dem 1.1.2024 dokumentieren wir die identifizierten Schwachstellen bei DRACOON Cloud auf Github.com.
DRACOON Sicherheits-Updates (Archiv)
Nachfolgend finden Sie eine Liste von Schwachstellen, die in den jeweils angegebenen Releases behoben wurden.
| Beschreibung | Release | Release-Datum | CVE-ID | CVSS-Score | Schweregrad |
|---|---|---|---|---|---|
| Unzulässige Zugangskontrolle | Dracoon Cloud-Komponente | 11.12.2024 | - | 4.3 | mittel |
| S3 Konfiguration Prüfung | Dracoon Cloud-Komponente | 10.12.2024 | - | 3 | mittel |
| Mögliche Lecks behoben | Dracoon Cloud-Komponente | 28.11.2024 | - | 3.7 | mittel |
| Prüfung von schwachen PINs | Dracoon Cloud-Komponente | 25.11.2024 | - | 6.8 |
mittel
|
| Open-Redirect | Dracoon Cloud-Komponente | 25.11.2024 | - | 8.8 |
hoch
|
| User Enumeration | Dracoon Cloud-Komponente | 13.11.2024 | - | 3.7 |
mittel
|
| CORS-Problem mit Dateiexfiltration | Dracoon Cloud-Komponente | 07.10.2024 | - | 5.3 |
mittel
|
| Denial-of-Service-Problem | Dracoon Cloud-Komponente | 24.09.2024 | CVE-2024-7254 | - | niedrig |
| Schwachstelle bei der Pfadumgehung | Dracoon Cloud-Komponente | 20.09.2024 | CVE-2024-38816 | 7.5 | hoch |
| Ungültigmachung von Cookies | Dracoon Cloud-Komponente | 17.09.2024 | - | 6.8 | mittel |
| Sicherheits-Hotspot: Langsame Regex | Dracoon Cloud-Komponente | 12.08.2024 | - | 5.9 | mittel |
| Amazon-Ion-Abhängigkeit | Dracoon Cloud-Komponente | 07.08.2024 | - | 7.5 | hoch |
| Aktualisierung von log4j | Dracoon Branding Service 1.4.2 | 07.08.2024 | CVE-2021-44228 | 9.8 | kritisch |
| Schwachstelle bezüglich TargeitID | Dracoon Cloud-Komponente | 16.07.2024 | - | 4.5 | mittel |
| Sicherheits-Hotspot: Hart kodiertes Geheimnis | Dracoon Cloud-Komponente | 11.07.2024 | CVE-2022-2510, CVE-2021-42635 | 2.3 | niedrig |
| OAuth-Client-Schwachstelle durch swagger config | Dracoon Cloud-Komponente | 04.07.2024 | - | 3.7 | niedrig |
| Schwachstelle beim Hochladen von TargetID-Berichten | Dracoon Reporting Service 2.6.0 | 18.06.2024 | - | 4.5 | mittel |
| Sonar-Schwachstelle | Dracoon für Microsoft Teams 1.11.0 | 14.06.2024 | - | 7.5 | hoch |
| Sicherheitslücke in der Konfiguration von MS Teams | Dracoon für Microsoft Teams 1.11.0 | 14.06.2024 | - | 3.7 | niedrig |
| Schwachstelle bei der Ungültigkeitserklärung von Access Token | Dracoon Cloud-Komponente | 06.06.2024 | - | 6.5 | mittel |
| USER ID Aufzählung über GET, POST, PUT und Passwortrücksetzung | Dracoon Cloud-Komponente | 06.06.2024 | - | 5.3 | mittel |
| Benutzeraufzählung mit Timing-Angriff | Dracoon Cloud-Komponente | 23.04.2024 | - | 5.3 | mittel |
| Löschen von Ordnern für unprivilegierte Benutzer | Dracoon Cloud-Komponente | 23.04.2024 | CVE-2024-29188 | 0 | niedrig |
| GetTempPathW Schwachstelle | Cloud | 23.04.2024 | CVE-2024-29187 | 7.3 | mittel |
| Ungültigkeit von Cookies behoben | Dracoon Cloud-Komponente | 23.04.2024 | - | 5.3 |
mittel
|
| Spring Framework URL-Parsing-Schwachstelle | Dracoon Reporting Service 2.8.2 | 17.04.2024 | CVE-2024-22262 | 8.1 | hoch |
| Code-Lieferung mit Debug-Funktionen Empfindlichkeit | Dracoon Cloud-Komponente | 15.04.2024 | - | 3.1 |
niedrig
|
| Schwachstelle im Slab Quill HTML-Editor | Dracoon Cloud-Komponente | 11.04.2024 | CVE-2021-3163 | 6.1 |
mittel
|
| Transitive Zuständigkeiten follow-redirects | Dracoon Cloud-Komponente | 21.03.2024 | CVE-2024-28849 | 6.5 |
mittel
|
| Spring Security: Sicherheitslücke in der Zugriffskontrolle | Dracoon Cloud-Komponente | 20.03.2024 | CVE-2024-22257 | 0 |
niedrig
|
| HTML-Einschleusung für E-Mails | Dracoon Cloud-Komponente | 29.02.2024 | - | 4.6 |
mittel
|
| Schwachstelle bei der Ressourcenzuweisung ohne Begrenzung oder Drosselung in Apache Commons Compress | Dracoon Cloud-Komponente | 29.02.2024 | CVE-2024-22243, CVE-2024-25710, CVE-2024-26308) | 4.6 |
mittel
|
| Aktualisierung von Node.js | Dracoon Cloud-Komponente | 29.02.2024 | - | 7.8 |
hoch
|
| Unsachgemäße Handhabung von URLs gepatcht | Dracoon Cloud-Komponente | 29.02.2024 | CVE-2023-26159 | 6.1 |
mittel
|
| Geänderte Speicherung von geheimen Werten | Dracoon Java Crypto SDK 4.0.0 | 15.02.2024 | - | 2.9 |
niedrig
|
| Patch für einen möglichen Injektionspfad im Firefox-Browser | Dracoon Cloud-Komponente | - | 8.11 |
hoch
|
|
| Fehlerhafte Skripte können einen Absturz provozieren in der Bibliothek elasticsearch | Dracoon Cloud-Komponente | 24.01.2024 | CVE-2023-46673 | 7.5 |
hoch
|
| Fehlerhafte Eingabevalidierung in der Bibliothek Apache Tomcat | Dracoon Cloud-Komponente | 24.01.2024 | CVE-2023-46673 | 7.5 |
hoch
|
| Denial of Service (DoD) Schwachstelle in der Bibliothek tomcat-embed-websocket | Dracoon Cloud-Komponente | 24.01.2024 | CVE-2023-44487 | 7.5 |
hoch
|
| Fehlerhafte Eingabeüberprüfung erlaubt HTML injection in versendete E-Mail-Nachrichten | Dracoon Cloud-Komponente | 24.01.2023 | - | 4.6 |
mittel
|
| OutOfMemory-Fehler durch fehlende Größenüberprüfung in der Bibliothek rabbitmq | Dracoon Cloud-Komponente | 15.01.2024 | CVE-2023-46120 | 7.5 |
hoch
|
|
Löschen des lokal gespeicherten Keys in der Web-Applikation wurde nicht korrekt durchgeführt |
Dracoon Cloud-Komponente | 10.01.2024 | - | 5.3 |
mittel
|
| nterstützung veralteter iOS-Versionen | Dracoon für iOS 6.18.0 | 07.12.2023 | - | 6.9 |
mittel
|
| Fehlende Überprüfung bei der Eingabe leicht zu erratender PINs | Dracoon für iOS 6.18.0 | 07.12.2023 | - | 6.8 |
mittel
|
| Unzureichende Anzahl an Iterationen bei der Ableitung einen Schlüssel zur Verschlüsselung des privaten Schlüssels aus dem eingebenen Passwort | Dracoon Cloud-Komponente | 05.12.2023 | - | 7.7 |
hoch
|
| Fehlerhafte Eingabevalidierung in der Bibliothek Apache httpclient | Dracoon Cloud-Komponente | 29.11.2023 | CVE-2020-13956 | 5.3 |
mittel
|
| Denial of Service (DoD) Schwachstelle in der Bibliothek elasticsearch | Dracoon Cloud-Komponente | 29.11.2023 | CVE-2023-31419 | 6.5 |
mittel
|
| Fehlerhafte Eingabevalidierung in der Bibliothek Apache commons_compress | Dracoon Cloud-Komponente | 29.11.2023 | CVE-2023-42503 | 5.5 |
mittel
|
| OutOfMemory-Fehler durch fehlende Größenüberprüfung in der Bibliothek rabbitmq | Dracoon Cloud-Komponente | 28.11.2023 | CVE-2023-46120 | 7.5 |
hoch
|
| OutOfMemory-Fehler durch fehlende Größenüberprüfung in der Bibliothek rabbitmq | Dracoon Cloud-Komponente | 25.11.2023 | CVE-2023-46120 | 7.5 |
hoch
|
| Deserialisierung von nicht-vertrauenswürdigen Daten in der Bibilothek spring-amqp | Dracoon Cloud-Komponente | 16.11.2023 | CVE-2023-34050 | 8 |
hoch
|
| Denial of Service (DoD) Schwachstelle in der Bibliothek tomcat-embed-websocket | Dracoon Cloud-Komponente | 16.11.2023 | CVE-2023-44487 | 7.5 |
hoch
|
| OutOfMemory-Fehler durch fehlende Größenüberprüfung in der Bibliothek rabbitmq | Dracoon Cloud-Komponente | 16.11.2023 | CVE-2023-46120 | 7.5 |
hoch
|
| Fehlerhafte Validierung von externem CSS in der Bibliothek postcss | Dracoon Cloud-Komponente | 08.11.2023 | CVE-2023-44270 | 5.3 |
mittel
|
| Unvollständige Liste nicht erlaubter Eingaben in der Bibliothek babel/traverse | Dracoon Cloud-Komponente | 06.11.2023 | CVE-2023-45133 | 9.3 |
kritisch
|
| Unzureichende Anzahl an Iterationen bei der Ableitung einen Schlüssel zur Verschlüsselung des privaten Schlüssels aus dem eingebenen Passwort | Draccoon Java Crypto SDK 2.1.0 | 30.10.2023 | - | 7.7 |
hoch
|
| Fehlerhafte Bereinigung von HTML-Eingaben in Branding-Eingabefeldern | Dracoon Cloud-Komponente | 27.10.2023 | - | 5.4 |
mittel
|
| Unzureichende Anzahl an Iterationen bei der Ableitung einen Schlüssel zur Verschlüsselung des privaten Schlüssels aus dem eingebenen Passwort | Draccoon Swift Crypto SDK 2.3.0 | 11.10.2023 | - | 7.7 |
hoch
|
| Fehlerhafte Bereinigung von Nutzereingaben bei der Erstellung von Reports | Dracoon Cloud-Komponente | 12.09.2023 | - | 3.3 |
niedrig
|
Ältere Schwachstellen
| DRACOON-Produkt | Beschreibung | Release-Version | Release-Datum | CVSS-Score | Schweregrad |
|---|---|---|---|---|---|
|
DRACOON Cloud, DRACOON Server |
Die von DRACOON für Android verwendeten Okio- und OkHttp-Komponenten enthalten je eine Sicherheitslücke (CVE-2023-3635 und CVE-2023-3782). | DRACOON für Android 6.11, DRACOON für Android 5.12.8 | 01.09.2023 | 7.5 |
hoch
|
| DRACOON Cloud | Die von DRACOON für Android verwendete SQLite-Komponente enthält eine Sicherheitslücke (CVE-2023-32697). | DRACOON für Android 6.10 | 31.07.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Die von DRACOON für Android verwendete Bouncy Castle-Crypto-Bibliothek enthält eine Sicherheitslücke (CVE-2023-33201). | DRACOON für Android 6.10 | 31.07.2023 | 6.5 |
mittel
|
| DRACOON Cloud | Beim Öffnen eines mit DRACOON erzeugten Ereignisberichts im CSV-Format mit Microsoft Excel wird u.U. Code auf dem PC des Excel-Benutzers ausgeführt, den ein Angreifer durch einen protokollierten und somit im Bericht enthaltenen API-Aufruf an der DRACOON-Umgebung mit einem manipulierten UserAgent-Eintrag einschleuste. | DRACOON Reporting Service 1.6.1 | 19.07.2023 | 9.6 |
kritisch
|
| DRACOON Cloud | Sicherheitslücke CVE-2023-34462 | DRACOON API Gateway 1.6 | 05.07.2023 | 8.8 |
hoch
|
| DRACOON Cloud | Sicherheitslücke CVE-2023-33201 | DRACOON API Gateway 1.6 | 05.07.2023 | 6.5 |
mittel
|
| DRACOON Cloud | Sicherheitslücke CVE-2023-2976 | DRACOON API Gateway 1.6 | 05.07.2023 | 6.2 |
mittel
|
| DRACOON Cloud | Die vom DRACOON API Gateway verwendete Spring Boot-Version enthält eine Sicherheitslücke (CVE-2023-20883), die unter bestimmten Bedingungen zu einem Denial-Of-Service-Angriff führen kann. | DRACOON API Gateway 1.6 | 05.07.2023 | 7.5 |
hoch
|
| DRACOON Cloud | Das vom DRACOON API Gateway verwendete Spring Framework enthält eine Sicherheitslücke (CVE-2023-20860), die durch einen fehlerhaften Musterabgleich zwischen Spring Security und Spring MVC zu einer potentiellen Sicherheitsumgehung führen kann. | DRACOON API Gateway 1.6 | 05.07.2023 | 7.5 |
hoch
|
| DRACOON Cloud | Das vom DRACOON API Gateway verwendete Spring Security enthält eine Sicherheitslücke (CVE-2023-20862), die dazu führen kann, dass beim Logout der Sicherheitskontext nicht korrekt zurückgesetzt wird. | DRACOON API Gateway 1.6 | 05.07.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Wenn für die DRACOON-App ein PIN-Code festgelegt wurde, waren unbegrenzt Eingabeversuche für die PIN möglich. | DRACOON für iOS 6.15 | 22.06.2023 | ||
| DRACOON Cloud | Wenn für die DRACOON-App ein PIN-Code festgelegt wurde, wurde die Neueingabe des PIN-Codes nicht verlangt, wenn die App geschlossen und innerhalb 30 Sekunden erneut geöffnet wurde. | DRACOON für iOS 6.15 | 22.06.2023 | 6.3 |
mittel
|
| DRACOON Cloud | Die vom DRACOON OAuth Service verwendete Spring Boot Admin enthält eine Version von SnakeYaml mit einer Sicherheitslücke. | DRACOON OAuth Service 4.28 | 08.05.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das vom DRACOON Core Service verwendet wird, kann dazu führen, dass beim Abmelden (Ausloggen) der Sicherheitskontext nicht zurückgesetzt wird. | DRACOON Core Service 4.43 | 03.05.2023 | 8.8 |
hoch
|
| DRACOON Cloud | Die zweistufige Authentifizierung (MFA) lässt sich umgehen, wenn der sog. Password-Flow bei der OAuth-Authentifizierung verwendet wird. | DRACOON OAuth Service 4.27.3, DRACOON Core Service 4.42.4 | 28.04.2023 | 7.5 |
hoch
|
| DRACOON Cloud, DRACOON Server | Da der DRACOON WebDAV Proxy keinen "content-disposition"-Header übermittelt, hat der Aufruf eines WebDAV-Links von DRACOON im Browser die Anzeige statt den Download der Datei zur Folge, was eine reflektierte XSS-Lücke darstellt. | DRACOON WebDAV Proxy 6.1.3, DRACOON WebDAV Proxy 5.4.8 | 28.04.2023 | 8 |
hoch
|
| DRACOON Server | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das vom DRACOON Spring Boot Admin verwendet wird, kann dazu führen, dass beim Abmelden (Ausloggen) der Sicherheitskontext nicht zurückgesetzt wird. | DRACOON Spring Boot Admin 1.2.1 | 26.04.2023 | 8.8 |
hoch
|
| DRACOON Server | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das von DRACOON-Diensten verwendet wird, ermöglicht die Umgehung von Authentifizierungsprüfungen. | DRACOON Message Queue Sender 1.4.6, DRACOON Spring Boot Admin 1.0.4, DRACOON WebDAV Proxy 5.4.7 | 06.04.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das von DRACOON-Diensten verwendet wird, ermöglicht die Umgehung von Authentifizierungsprüfungen. | DRACOON API Gateway 1.5.1, DRACOON Event Log Service 1.1, DRACOON S3 CMUR Worker 1.8, DRACOON Branding Service 1.9, DRACOON OAuth Service 4.27.1, DRACOON Message Queue Sender 1.10, DRACOON WebDAV Proxy 6.1.2 | 06.04.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) des DRACOON Event Log Service erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON Event Log Service 1.1 | 06.04.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Der vom DRACOON OAuth Service verwendete Spring Boot Admin enthält eine kritische Sicherheitslücke. | DRACOON OAuth Service 4.27.2 | 22.03.2023 | 9.8 |
kritisch
|
| DRACOON Cloud, DRACOON Server | Nach dem Deaktivieren von FaceID oder TouchID auf dem iPhone/iPad musste eine für die DRACOON-App festgelegte PIN beim Start der App nicht mehr eingegeben werden. | DRACOON für iOS 6.14.6, DRACOON für iOS 5.20.4 | 13.03.2023 | 5.5 |
mittel
|
| DRACOON Cloud | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) einiger DRACOON-Dienste erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON Branding Service 1.8 (CVSS 8), DRACOON Media Service 1.7 (CVSS 8), DRACOON Reporting Service 1.4.2 (CVSS 6.1), DRACOON Signing Service 1.3 (CVSS 6.1) | 17.02.2023 | 8/6.1 |
hoch
|
| DRACOON Cloud | Bei der Nutzung des Signaturverfahrens konnte in einer seltenen Konstellation das signierte PDF-Dokument fehlerhaft abgelegt werden. | DRACOON Signing Service 1.2.1 | 11.02.2023 | 7.5 |
hoch
|
| DRACOON Server | Beim Aufruf von Swagger (der DRACOON API-Dokumentation) mit dem Parameter validatorUrl wird ein Anmeldeformular von DRACOON angezeigt, das auf die im Parameter übergebene Adresse umgelenkt werden kann. | DRACOON Core 4.26.11 | 10.02.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Ist die zweistufige Authentifizierung (MFA) für alle Benuter zwingend vorgeschrieben, wird dies bei neu hinzugefügten Gastbenutzern nicht eingefordert – diese können sich ohne zweistufige Authentifizierung an DRACOON anmelden. | DRACOON Core 4.41.2 | 09.02.2023 | 7.5 |
hoch
|
| DRACOON Server | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) einiger DRACOON-Dienste erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON WebDAV Service 5.4.6 (CVSS 9.6), DRACOON Branding Service 1.4.3 (CVSS 8) | 03.02.2023 | 9.6/8 |
kritisch
|
| DRACOON Cloud | Beim Aufruf von Swagger (der DRACOON API-Dokumentation) mit dem Parameter validatorUrl wird ein Anmeldeformular von DRACOON angezeigt, das auf die im Parameter übergebene Adresse umgelenkt werden kann. | DRACOON Core 4.41.1 | 31.01.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Über eine Sicherheitslücke im DRACOON Media Service können Zugangsdaten aus DRACOON abgegriffen werden, die z.B. über eine betrügerische Phishing-Website, auf der ein DRACOON-Anmeldeformular vorgetäuscht wird, vom Benutzer eingegeben werden. Die Lücke lässt auch XSS-Angriffe (Site-übergreifendes Skripting) zu. Eine Ausnutzung der Lücke ist unwahrscheinlich, da der DRACOON Media Service eine nicht öffentlich dokumentierte Komponente von DRACOON ist. | DRACOON Media Service 1.7 | 12.01.2023 | 9.3 |
kritisch
|
| DRACOON Cloud | Wird zur Authentifizierung am DRACOON-API die DRACOON-Legacy-Authentifizierung (also über einen deprecated X-SDS-Auth-Token) verwendet, wird eine aktivierte zweistufige Authentifizierung (MFA) nicht berücksichtigt. | DRACOON Core 4.39 | 12.01.2023 | 7.5 |
hoch
|
| DRACOON Server | Wenn ein in der DRACOON Web App angemeldeter Benutzer seinen Sitzungstoken aus dem lokalen Speicher des Browsers kopiert, kann er trotz Abmelden die Web App-Sitzung weiterverweden, indem er den Sitzungstoken in den lokalen Speicher des Browsers zurückkopiert. Eine Ausnutzung dieses Szenarios durch andere Benutzer ist nicht möglich. | DRACOON Web App 5.12.7 | 20.09.2022 | 3.7 |
niedrig
|
| DRACOON Server | Ist in DRACOON die Richtlinie gesetzt, dass ein Benutzer nach x falschen Anmeldeversuchen vorübergehend gesperrt wird, kann von außen ermittelt werden, ob ein bestimmter Benutzer in DRACOON existiert, da nach den fehlerhaften Anmeldeversuchen eine Fehlermeldung ausgegeben wird, die auf die Existenz des Benutzers in DRACOON schließen lässt. Ebenso kann auf die Existenz eines Benutzers in DRACOON geschlossen werden, indem kurz hintereinander mehrmals auf den "Kennwort vergessen"-Link im Anmeldeformular geklickt wird, da dann eine aufschlussgebende Warnmeldung ausgegeben wird. |
DRACOON OAuth Service 4.20.8 | 28.07.2022 | 5.3 |
mittel
|
| DRACOON Cloud | Ist in DRACOON die Richtlinie gesetzt, dass ein Benutzer nach x falschen Anmeldeversuchen vorübergehend gesperrt wird, kann von außen ermittelt werden, ob ein bestimmter Benutzer in DRACOON existiert, da nach den fehlerhaften Anmeldeversuchen eine Fehlermeldung ausgegeben wird, die auf die Existenz des Benutzers in DRACOON schließen lässt. Ebenso kann auf die Existenz eines Benutzers in DRACOON geschlossen werden, indem kurz hintereinander mehrmals auf den "Kennwort vergessen"-Link im Anmeldeformular geklickt wird, da dann eine aufschlussgebende Warnmeldung ausgegeben wird. |
DRACOON OAuth Service 4.25 | 21.07.2022 | 5.3 |
mittel
|
| DRACOON Cloud | Bei der Eingabe des Kennworts für Dateianfragen gibt es keine Sperre nach mehreren fehlgeschlagenen Eingabeversuchen, sodass über eine Brute-Force-Attacke irgendwann das richtige Kennwort erraten werden könnte. | DRACOON Core 4.37 | 21.06.2022 | 3.7 |
niedrig
|
| DRACOON Cloud | Wenn ein in der DRACOON Web App angemeldeter Benutzer seinen Sitzungstoken aus dem lokalen Speicher des Browsers kopiert, kann er trotz Abmelden die Web App-Sitzung weiterverweden, indem er den Sitzungstoken in den lokalen Speicher des Browsers zurückkopiert. Eine Ausnutzung dieses Szenarios durch andere Benutzer ist nicht möglich. | DRACOON Web App 6.19 | 04.05.2022 | 3.7 |
niedrig
|
| DRACOON Cloud | Benutzermanager können in Benutzerbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Benutzer auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. Gruppenmanager können in Gruppenbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Gruppenmitglieder auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. |
DRACOON Core 4.36 | 04.05.2022 | 4.8 |
mittel
|
| DRACOON Cloud | Ersteller von Freigaben und Dateianfragen können in die E-Mail, die sie aus DRACOON an Linkempfänger senden, HTML-Code einfügen und somit z.B. eigene Links integrieren, die auf eine beliebige Adresse zeigen können. | DRACOON Core 4.36 | 04.05.2022 | 4.8 |
mittel
|
| DRACOON Server | Benutzermanager können in Benutzerbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Benutzer auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. Gruppenmanager können in Gruppenbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Gruppenmitglieder auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. |
DRACOON Core 4.26.8 | 22.03.2022 | 4.8 |
mittel
|
| DRACOON Server | Ersteller von Freigaben und Dateianfragen können in die E-Mail, die sie aus DRACOON an Linkempfänger senden, HTML-Code einfügen und somit z.B. eigene Links integrieren, die auf eine beliebige Adresse zeigen können. | DRACOON Core 4.26.8 | 22.03.2022 | 4.8 |
mittel
|
| DRACOON Server | In DRACOON eingeloggte Benutzer können über den Parameter redirect_url im API-Endpunkt /oauth/logout auf eine beliebige andere, potentiell schädliche Webseite umgelenkt werden, z.B. durch den Aufruf von https://beispiel.dracoon.com/oauth/logout?redirect_url=google.com | DRACOON OAuth Service 4.20.7 | 22.03.2022 | 8.8 |
hoch
|
| DRACOON Cloud | Auditoren können im Audit-Log die Zugangsdaten (Access Key und Secret Key) für den S3 Object Storage (sofern konfiguriert) einsehen. Die Zugangsdaten sind nicht öffentlich einsehbar. | DRACOON Core 4.35 | 17.02.2022 | ||
| DRACOON Cloud | In DRACOON eingeloggte Benutzer können über den Parameter redirect_url im API-Endpunkt /oauth/logout auf eine beliebige andere, potentiell schädliche Webseite umgelenkt werden, z.B. durch den Aufruf von https://beispiel.dracoon.com/oauth/logout?redirect_url=google.com | DRACOON OAuth Service 4.24 | 17.02.2022 | 8.8 |
hoch
|
| DRACOON Cloud | Auditoren können im Audit-Log den AES-Schlüssel von Benutzern einsehen, der in der DRACOON Web App zum lokalen Entschlüsseln des Entschlüsselungskennworts des jeweiligen Benutzers verwendet wird. Diese Sicherheitslücke kann nicht verwendet werden, um verschlüsselte Dateien zu entschlüsseln. | DRACOON Core 4.33.4 | 19.01.2022 | 4.1 |
mittel
|
| DRACOON Cloud | DRACOON für Outlook für DRACOON Cloud-Kunden enthält Versionen der Bibliotheken Apache Log4net und RestSharp, die Sicherheitslücken aufweisen. Eine Ausnutzung der Lücken war nur theoretisch möglich und unwahrscheinlich. | DRACOON für Outlook 6.9.1 | 17.12.2021 | 7.8 |
hoch
|
| DRACOON Server | DRACOON für Outlook für DRACOON Server-Kunden enthält Versionen der Bibliotheken Apache Log4net und RestSharp, die Sicherheitslücken aufweisen. Eine Ausnutzung der Lücken war nur theoretisch möglich und unwahrscheinlich. | DRACOON für Outlook 5.12.4 | 17.12.2021 | 7.8 |
hoch
|
| DRACOON Cloud | Auditoren können den AES-Schlüssel, den die DRACOON Web App zum Verschlüsseln der persönlichen Entschlüsselungskennwörter von Benutzern verwendet, im Audit-Log nachvollziehen. Der Schlüssel kann nicht zum Entschlüsseln verschlüsselter Dateien verwendet werden. | DRACOON Core 4.33.4 | 08.12.2021 | 4.1 |
mittel
|
| DRACOON Server | Der Secret Key für angebundenen S3-Speicher wurde unverschlüsselt in der internen DRACOON-Datenbank gespeichert. Auf die Datenbank war kein externer Zugriff möglich. | DRACOON Core 4.26.6 | 06.12.2021 | 5.6 |
mittel
|
| DRACOON Cloud | Der Secret Key für angebundenen S3-Speicher wurde unverschlüsselt in der internen DRACOON-Datenbank gespeichert. Auf die Datenbank war kein externer Zugriff möglich. | DRACOON Core 4.33 | 10.11.2021 | 5.6 |
mittel
|
| DRACOON Cloud | Eine Reflected-XSS-Schwachstelle erlaubte unter bestimmten Bedingungen bei Verwendung von Firefox die Ausführung von JavaScript-Code auf der Fehler-Seite der Web App. | DRACOON Web App 5.11 | 10.03.2021 | 8.1 |
hoch
|
| DRACOON Cloud | Die Verteilung von Dateischlüsseln in verschlüsselten Datenräumen war unter bestimmten Voraussetzungen stark eingeschränkt. | DRACOON Core 4.23.5 | 27.01.2021 | 4.4 |
mittel
|
| DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der iOS-App sorgte dafür, dass auch nach dem Ausloggen aus einer DRACOON-Umgebung zuvor bereits gespeicherte Favoriten weiterhin unter "Dateien" in iOS sichtbar waren. | DRACOON für iOS 6.1 DRACOON für iOS 5.14 |
22.10.2020 | 2.2 |
niedrig
|
| DRACOON Cloud, DRACOON Server (2019-1) | Die Entwickler-Version der Android-App enthielt ein veraltetes Software-Paket eines Drittanbieters, welches eine Schwachstelle aufwies. | DRACOON für Android 5.6.1 | 24.07.2020 | 3.3 |
niedrig
|
| DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der Android-App führte dazu, dass der festgelegte Sperr-Code beim Entsperren des Bildschirms nicht abgefragt wurde. | DRACOON für Android 5.6.1 | 24.07.2020 | 6.1 |
mittel
|
| DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle auf der OAuth-Anmeldeseite erlaubte die Ausführung von JavaScript-Code über eine Eingabe im Benutzer-Feld. | DRACOON OAuth Service 4.12.4 | 17.07.2020 | 6.8 |
mittel
|
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Media Service 1.4.2 | 13.07.2020 | nicht bewertet | nicht bewertet |
| DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle bei der Verwendung einer spezifischen Adresse, die zum Darstellen von Fehlern verwendet wird, erlaubte die Ausführung von JavaScript-Code. | DRACOON Web App 4.12.2 | 29.05.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | In seltenen Umständen erhielt ein Benutzer eines Webhooks Informationen zu einem anderen, nicht zusammenhängenden Webhook. | DRACOON Event Web Hook Dispatcher 1.0.2 | 07.05.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Benutzer erhielten unter seltenen Umständen Benachrichtigungen über die Verwendung einer Freigabe, die sie nicht erstellt hatten. | DRACOON Event Email Dispatcher 1.0.1 | 02.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON WebDAV Proxy 5.3.1 DRACOON WebDAV Proxy 5.2.2-LTS |
27.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Benachrichtigungen auf Datenräume über neue Dateien wurden in seltenen Fällen ohne Benutzerinteraktion entfernt. | DRACOON Core 4.20.3 | 23.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON BrandingUI 1.2.1-LTS | 02.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Der Media-Token wurde in Webhook-Rückmeldungen für das Event "file.created" übermittelt. | DRACOON Core 4.20.0 DRACOON Core 4.20 | 30.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON OAuth Service 4.12.2 DRACOON OAuth Service 4.16.1 |
24.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Core 4.12.6 DRACOON Core 4.19 |
10.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON BrandingUI 1.4.2 | 10.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Branding Service 1.3.1 | 05.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Web App 5.3 | 05.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON S3 CMUR Worker 1.3.0 | 05.03.2020 | nicht bewertet | nicht bewertet |
----------------------
Onurs Version:
| DRACOON-Produkt | Beschreibung | Release-Version | Release-Datum | CVSS-Score | Schweregrad |
|---|---|---|---|---|---|
| DRACOON Server | Es wurde ein Problem behoben, bei dem Cookies beim Abmelden nicht ungültig gemacht wurden, eine Amazon Ion-Abhängigkeit und sichergestellt, dass die User Enumeration sicher ist. | DRACOON Core Service 5.2.0 | 29.01.2024 | 7.5 | hoch |
| DRACOON Cloud, DRACOON Server | Die Name-Tags sind bereinigt, um eine mögliche HTML-Injektion zu verhindern. Enthält auch Behebungen für die Sicherheitslücken: CVE-2023-46120, CVE-2023-44487, CVE-2023-46589, CVE-2023-46673 | DRACOON OAuth Service 5.1.0 | 25.01.2024 | 7.5 | hoch |
| DRACOON Cloud | Es wurde ein Problem behoben, bei dem der lokal gespeicherte private Schlüssel nicht entfernt werden kann, so dass der Benutzer das Entschlüsselungskennwort erneut eingeben muss, um auf verschlüsselte Dateien zuzugreifen. | DRACOON WebApp 6.54.0 | 10.01.2024 | 5.3 | mittel |
| DRACOON Cloud, DRACOON Server | Es wurde ein Problem behoben, bei dem in einigen Fällen das Passwort im Klartext gedruckt wurde. | DRACOON OAuth Service 4.20.9 | 09.01.2024 | ????? | |
| DRACOON Cloud, DRACOON Server | Schwache Pins werden von der Anwendung nicht mehr akzeptiert, wie z. B. 0000, 1111 und so weiter. Außerdem werden veraltete iOS-Versionen nicht mehr unterstützt. (14 und niedriger) | DRACOON für iOS | 07.12.2023 | 6.8 | mittel |
|
DRACOON Cloud |
In dieser Version wurden die folgenden Sicherheitslücken behoben: CVE-2023-31417, CVE-2023-46120 | DRACOON Reporting Service 2.0.0 | 16.11.2023 | 7.5 | hoch |
|
DRACOON Cloud |
Die postcss-Version wurde auf Version 8.4.31 aktualisiert, um die Sicherheitslücke CVE-2023-44270 zu schließen. | DRACOON WebApp 6.48.0 | 08.11.2023 | 5.3 | mittel |
|
DRACOON Cloud |
Die gespeicherte HTML wird bereinigt, indem mögliche Angriffsvektoren wie z.B Tags entfernt werden. | DRACOON Branding Service 2.1.0 | 27.10.2023 | 5.4 | mittel |
|
DRACOON Cloud |
In dieser Version wurden die folgenden Sicherheitslücken behoben:CVE-2023-42503, CVE-2023-31419, CVE-2020-13956, CVE-2023-45960, CVE-2023-46120 | DRACOON OAuth Service 5.0.0 | 18.10.2023 | 7.5 | hoch |
|
DRACOON Cloud |
Die Anzahl der Hash-Iterationen von DRACOON Crypto mit SHA1 wurde erhöht, um ein höheres Maß an Sicherheit zu gewährleisten, bevor private Schlüssel verschlüsselt werden. | DRACOON SDK 3.1, 2.3 ????? | 10.10.2023 | 7.7 | hoch |
|
DRACOON Cloud, DRACOON Server |
Die von DRACOON für Android verwendeten Okio- und OkHttp-Komponenten enthalten je eine Sicherheitslücke (CVE-2023-3635 und CVE-2023-3782). | DRACOON für Android 6.11, DRACOON für Android 5.12.8 | 01.09.2023 | 7.5 |
hoch
|
| DRACOON Cloud | Die von DRACOON für Android verwendete SQLite-Komponente enthält eine Sicherheitslücke (CVE-2023-32697). | DRACOON für Android 6.10 | 31.07.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Die von DRACOON für Android verwendete Bouncy Castle-Crypto-Bibliothek enthält eine Sicherheitslücke (CVE-2023-33201). | DRACOON für Android 6.10 | 31.07.2023 | 6.5 |
mittel
|
| DRACOON Cloud | Beim Öffnen eines mit DRACOON erzeugten Ereignisberichts im CSV-Format mit Microsoft Excel wird u.U. Code auf dem PC des Excel-Benutzers ausgeführt, den ein Angreifer durch einen protokollierten und somit im Bericht enthaltenen API-Aufruf an der DRACOON-Umgebung mit einem manipulierten UserAgent-Eintrag einschleuste. | DRACOON Reporting Service 1.6.1 | 19.07.2023 | 9.6 |
kritisch
|
| DRACOON Cloud | Sicherheitslücke CVE-2023-34462 | DRACOON API Gateway 1.6 | 05.07.2023 | 8.8 |
hoch
|
| DRACOON Cloud | Sicherheitslücke CVE-2023-33201 | DRACOON API Gateway 1.6 | 05.07.2023 | 6.5 |
mittel
|
| DRACOON Cloud | Sicherheitslücke CVE-2023-2976 | DRACOON API Gateway 1.6 | 05.07.2023 | 6.2 |
mittel
|
| DRACOON Cloud | Die vom DRACOON API Gateway verwendete Spring Boot-Version enthält eine Sicherheitslücke (CVE-2023-20883), die unter bestimmten Bedingungen zu einem Denial-Of-Service-Angriff führen kann. | DRACOON API Gateway 1.6 | 05.07.2023 | 7.5 |
hoch
|
| DRACOON Cloud | Das vom DRACOON API Gateway verwendete Spring Framework enthält eine Sicherheitslücke (CVE-2023-20860), die durch einen fehlerhaften Musterabgleich zwischen Spring Security und Spring MVC zu einer potentiellen Sicherheitsumgehung führen kann. | DRACOON API Gateway 1.6 | 05.07.2023 | 7.5 |
hoch
|
| DRACOON Cloud | Das vom DRACOON API Gateway verwendete Spring Security enthält eine Sicherheitslücke (CVE-2023-20862), die dazu führen kann, dass beim Logout der Sicherheitskontext nicht korrekt zurückgesetzt wird. | DRACOON API Gateway 1.6 | 05.07.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Wenn für die DRACOON-App ein PIN-Code festgelegt wurde, waren unbegrenzt Eingabeversuche für die PIN möglich. | DRACOON für iOS 6.15 | 22.06.2023 | ||
| DRACOON Cloud | Wenn für die DRACOON-App ein PIN-Code festgelegt wurde, wurde die Neueingabe des PIN-Codes nicht verlangt, wenn die App geschlossen und innerhalb 30 Sekunden erneut geöffnet wurde. | DRACOON für iOS 6.15 | 22.06.2023 | 6.3 |
mittel
|
| DRACOON Cloud | Die vom DRACOON OAuth Service verwendete Spring Boot Admin enthält eine Version von SnakeYaml mit einer Sicherheitslücke. | DRACOON OAuth Service 4.28 | 08.05.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das vom DRACOON Core Service verwendet wird, kann dazu führen, dass beim Abmelden (Ausloggen) der Sicherheitskontext nicht zurückgesetzt wird. | DRACOON Core Service 4.43 | 03.05.2023 | 8.8 |
hoch
|
| DRACOON Cloud | Die zweistufige Authentifizierung (MFA) lässt sich umgehen, wenn der sog. Password-Flow bei der OAuth-Authentifizierung verwendet wird. | DRACOON OAuth Service 4.27.3, DRACOON Core Service 4.42.4 | 28.04.2023 | 7.5 |
hoch
|
| DRACOON Cloud, DRACOON Server | Da der DRACOON WebDAV Proxy keinen "content-disposition"-Header übermittelt, hat der Aufruf eines WebDAV-Links von DRACOON im Browser die Anzeige statt den Download der Datei zur Folge, was eine reflektierte XSS-Lücke darstellt. | DRACOON WebDAV Proxy 6.1.3, DRACOON WebDAV Proxy 5.4.8 | 28.04.2023 | 8 |
hoch
|
| DRACOON Server | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das vom DRACOON Spring Boot Admin verwendet wird, kann dazu führen, dass beim Abmelden (Ausloggen) der Sicherheitskontext nicht zurückgesetzt wird. | DRACOON Spring Boot Admin 1.2.1 | 26.04.2023 | 8.8 |
hoch
|
| DRACOON Server | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das von DRACOON-Diensten verwendet wird, ermöglicht die Umgehung von Authentifizierungsprüfungen. | DRACOON Message Queue Sender 1.4.6, DRACOON Spring Boot Admin 1.0.4, DRACOON WebDAV Proxy 5.4.7 | 06.04.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine Sicherheitslücke im Java-Authentifizierungs-Framework Spring Security, das von DRACOON-Diensten verwendet wird, ermöglicht die Umgehung von Authentifizierungsprüfungen. | DRACOON API Gateway 1.5.1, DRACOON Event Log Service 1.1, DRACOON S3 CMUR Worker 1.8, DRACOON Branding Service 1.9, DRACOON OAuth Service 4.27.1, DRACOON Message Queue Sender 1.10, DRACOON WebDAV Proxy 6.1.2 | 06.04.2023 | 9.8 |
kritisch
|
| DRACOON Cloud | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) des DRACOON Event Log Service erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON Event Log Service 1.1 | 06.04.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Der vom DRACOON OAuth Service verwendete Spring Boot Admin enthält eine kritische Sicherheitslücke. | DRACOON OAuth Service 4.27.2 | 22.03.2023 | 9.8 |
kritisch
|
| DRACOON Cloud, DRACOON Server | Nach dem Deaktivieren von FaceID oder TouchID auf dem iPhone/iPad musste eine für die DRACOON-App festgelegte PIN beim Start der App nicht mehr eingegeben werden. | DRACOON für iOS 6.14.6, DRACOON für iOS 5.20.4 | 13.03.2023 | 5.5 |
mittel
|
| DRACOON Cloud | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) einiger DRACOON-Dienste erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON Branding Service 1.8 (CVSS 8), DRACOON Media Service 1.7 (CVSS 8), DRACOON Reporting Service 1.4.2 (CVSS 6.1), DRACOON Signing Service 1.3 (CVSS 6.1) | 17.02.2023 | 8/6.1 |
hoch
|
| DRACOON Cloud | Bei der Nutzung des Signaturverfahrens konnte in einer seltenen Konstellation das signierte PDF-Dokument fehlerhaft abgelegt werden. | DRACOON Signing Service 1.2.1 | 11.02.2023 | 7.5 |
hoch
|
| DRACOON Server | Beim Aufruf von Swagger (der DRACOON API-Dokumentation) mit dem Parameter validatorUrl wird ein Anmeldeformular von DRACOON angezeigt, das auf die im Parameter übergebene Adresse umgelenkt werden kann. | DRACOON Core 4.26.11 | 10.02.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Ist die zweistufige Authentifizierung (MFA) für alle Benuter zwingend vorgeschrieben, wird dies bei neu hinzugefügten Gastbenutzern nicht eingefordert – diese können sich ohne zweistufige Authentifizierung an DRACOON anmelden. | DRACOON Core 4.41.2 | 09.02.2023 | 7.5 |
hoch
|
| DRACOON Server | Eine reflektierte XSS-Lücke in Swagger (der DRACOON API-Dokumentation) einiger DRACOON-Dienste erlaubt die Übermittlung schädlicher Daten über den configUrl-Parameter. | DRACOON WebDAV Service 5.4.6 (CVSS 9.6), DRACOON Branding Service 1.4.3 (CVSS 8) | 03.02.2023 | 9.6/8 |
kritisch
|
| DRACOON Cloud | Beim Aufruf von Swagger (der DRACOON API-Dokumentation) mit dem Parameter validatorUrl wird ein Anmeldeformular von DRACOON angezeigt, das auf die im Parameter übergebene Adresse umgelenkt werden kann. | DRACOON Core 4.41.1 | 31.01.2023 | 6.1 |
mittel
|
| DRACOON Cloud | Über eine Sicherheitslücke im DRACOON Media Service können Zugangsdaten aus DRACOON abgegriffen werden, die z.B. über eine betrügerische Phishing-Website, auf der ein DRACOON-Anmeldeformular vorgetäuscht wird, vom Benutzer eingegeben werden. Die Lücke lässt auch XSS-Angriffe (Site-übergreifendes Skripting) zu. Eine Ausnutzung der Lücke ist unwahrscheinlich, da der DRACOON Media Service eine nicht öffentlich dokumentierte Komponente von DRACOON ist. | DRACOON Media Service 1.7 | 12.01.2023 | 9.3 |
kritisch
|
| DRACOON Cloud | Wird zur Authentifizierung am DRACOON-API die DRACOON-Legacy-Authentifizierung (also über einen deprecated X-SDS-Auth-Token) verwendet, wird eine aktivierte zweistufige Authentifizierung (MFA) nicht berücksichtigt. | DRACOON Core 4.39 | 12.01.2023 | 7.5 |
hoch
|
| DRACOON Server | Wenn ein in der DRACOON Web App angemeldeter Benutzer seinen Sitzungstoken aus dem lokalen Speicher des Browsers kopiert, kann er trotz Abmelden die Web App-Sitzung weiterverweden, indem er den Sitzungstoken in den lokalen Speicher des Browsers zurückkopiert. Eine Ausnutzung dieses Szenarios durch andere Benutzer ist nicht möglich. | DRACOON Web App 5.12.7 | 20.09.2022 | 3.7 |
niedrig
|
| DRACOON Server | Ist in DRACOON die Richtlinie gesetzt, dass ein Benutzer nach x falschen Anmeldeversuchen vorübergehend gesperrt wird, kann von außen ermittelt werden, ob ein bestimmter Benutzer in DRACOON existiert, da nach den fehlerhaften Anmeldeversuchen eine Fehlermeldung ausgegeben wird, die auf die Existenz des Benutzers in DRACOON schließen lässt. Ebenso kann auf die Existenz eines Benutzers in DRACOON geschlossen werden, indem kurz hintereinander mehrmals auf den "Kennwort vergessen"-Link im Anmeldeformular geklickt wird, da dann eine aufschlussgebende Warnmeldung ausgegeben wird. |
DRACOON OAuth Service 4.20.8 | 28.07.2022 | 5.3 |
mittel
|
| DRACOON Cloud | Ist in DRACOON die Richtlinie gesetzt, dass ein Benutzer nach x falschen Anmeldeversuchen vorübergehend gesperrt wird, kann von außen ermittelt werden, ob ein bestimmter Benutzer in DRACOON existiert, da nach den fehlerhaften Anmeldeversuchen eine Fehlermeldung ausgegeben wird, die auf die Existenz des Benutzers in DRACOON schließen lässt. Ebenso kann auf die Existenz eines Benutzers in DRACOON geschlossen werden, indem kurz hintereinander mehrmals auf den "Kennwort vergessen"-Link im Anmeldeformular geklickt wird, da dann eine aufschlussgebende Warnmeldung ausgegeben wird. |
DRACOON OAuth Service 4.25 | 21.07.2022 | 5.3 |
mittel
|
| DRACOON Cloud | Bei der Eingabe des Kennworts für Dateianfragen gibt es keine Sperre nach mehreren fehlgeschlagenen Eingabeversuchen, sodass über eine Brute-Force-Attacke irgendwann das richtige Kennwort erraten werden könnte. | DRACOON Core 4.37 | 21.06.2022 | 3.7 |
niedrig
|
| DRACOON Cloud | Wenn ein in der DRACOON Web App angemeldeter Benutzer seinen Sitzungstoken aus dem lokalen Speicher des Browsers kopiert, kann er trotz Abmelden die Web App-Sitzung weiterverweden, indem er den Sitzungstoken in den lokalen Speicher des Browsers zurückkopiert. Eine Ausnutzung dieses Szenarios durch andere Benutzer ist nicht möglich. | DRACOON Web App 6.19 | 04.05.2022 | 3.7 |
niedrig
|
| DRACOON Cloud | Benutzermanager können in Benutzerbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Benutzer auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. Gruppenmanager können in Gruppenbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Gruppenmitglieder auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. |
DRACOON Core 4.36 | 04.05.2022 | 4.8 |
mittel
|
| DRACOON Cloud | Ersteller von Freigaben und Dateianfragen können in die E-Mail, die sie aus DRACOON an Linkempfänger senden, HTML-Code einfügen und somit z.B. eigene Links integrieren, die auf eine beliebige Adresse zeigen können. | DRACOON Core 4.36 | 04.05.2022 | 4.8 |
mittel
|
| DRACOON Server | Benutzermanager können in Benutzerbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Benutzer auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. Gruppenmanager können in Gruppenbezeichnungen HTML-Code verwenden, wodurch in der Benachrichtigungs-E-Mail an neue Gruppenmitglieder auch der angegebene HTML-Code enthalten ist und so z.B. Links auf beliebige Adressen integriert werden können. |
DRACOON Core 4.26.8 | 22.03.2022 | 4.8 |
mittel
|
| DRACOON Server | Ersteller von Freigaben und Dateianfragen können in die E-Mail, die sie aus DRACOON an Linkempfänger senden, HTML-Code einfügen und somit z.B. eigene Links integrieren, die auf eine beliebige Adresse zeigen können. | DRACOON Core 4.26.8 | 22.03.2022 | 4.8 |
mittel
|
| DRACOON Server | In DRACOON eingeloggte Benutzer können über den Parameter redirect_url im API-Endpunkt /oauth/logout auf eine beliebige andere, potentiell schädliche Webseite umgelenkt werden, z.B. durch den Aufruf von https://beispiel.dracoon.com/oauth/logout?redirect_url=google.com | DRACOON OAuth Service 4.20.7 | 22.03.2022 | 8.8 |
hoch
|
| DRACOON Cloud | Auditoren können im Audit-Log die Zugangsdaten (Access Key und Secret Key) für den S3 Object Storage (sofern konfiguriert) einsehen. Die Zugangsdaten sind nicht öffentlich einsehbar. | DRACOON Core 4.35 | 17.02.2022 | ||
| DRACOON Cloud | In DRACOON eingeloggte Benutzer können über den Parameter redirect_url im API-Endpunkt /oauth/logout auf eine beliebige andere, potentiell schädliche Webseite umgelenkt werden, z.B. durch den Aufruf von https://beispiel.dracoon.com/oauth/logout?redirect_url=google.com | DRACOON OAuth Service 4.24 | 17.02.2022 | 8.8 |
hoch
|
| DRACOON Cloud | Auditoren können im Audit-Log den AES-Schlüssel von Benutzern einsehen, der in der DRACOON Web App zum lokalen Entschlüsseln des Entschlüsselungskennworts des jeweiligen Benutzers verwendet wird. Diese Sicherheitslücke kann nicht verwendet werden, um verschlüsselte Dateien zu entschlüsseln. | DRACOON Core 4.33.4 | 19.01.2022 | 4.1 |
mittel
|
| DRACOON Cloud | DRACOON für Outlook für DRACOON Cloud-Kunden enthält Versionen der Bibliotheken Apache Log4net und RestSharp, die Sicherheitslücken aufweisen. Eine Ausnutzung der Lücken war nur theoretisch möglich und unwahrscheinlich. | DRACOON für Outlook 6.9.1 | 17.12.2021 | 7.8 |
hoch
|
| DRACOON Server | DRACOON für Outlook für DRACOON Server-Kunden enthält Versionen der Bibliotheken Apache Log4net und RestSharp, die Sicherheitslücken aufweisen. Eine Ausnutzung der Lücken war nur theoretisch möglich und unwahrscheinlich. | DRACOON für Outlook 5.12.4 | 17.12.2021 | 7.8 |
hoch
|
| DRACOON Cloud | Auditoren können den AES-Schlüssel, den die DRACOON Web App zum Verschlüsseln der persönlichen Entschlüsselungskennwörter von Benutzern verwendet, im Audit-Log nachvollziehen. Der Schlüssel kann nicht zum Entschlüsseln verschlüsselter Dateien verwendet werden. | DRACOON Core 4.33.4 | 08.12.2021 | 4.1 |
mittel
|
| DRACOON Server | Der Secret Key für angebundenen S3-Speicher wurde unverschlüsselt in der internen DRACOON-Datenbank gespeichert. Auf die Datenbank war kein externer Zugriff möglich. | DRACOON Core 4.26.6 | 06.12.2021 | 5.6 |
mittel
|
| DRACOON Cloud | Der Secret Key für angebundenen S3-Speicher wurde unverschlüsselt in der internen DRACOON-Datenbank gespeichert. Auf die Datenbank war kein externer Zugriff möglich. | DRACOON Core 4.33 | 10.11.2021 | 5.6 |
mittel
|
| DRACOON Cloud | Eine Reflected-XSS-Schwachstelle erlaubte unter bestimmten Bedingungen bei Verwendung von Firefox die Ausführung von JavaScript-Code auf der Fehler-Seite der Web App. | DRACOON Web App 5.11 | 10.03.2021 | 8.1 |
hoch
|
| DRACOON Cloud | Die Verteilung von Dateischlüsseln in verschlüsselten Datenräumen war unter bestimmten Voraussetzungen stark eingeschränkt. | DRACOON Core 4.23.5 | 27.01.2021 | 4.4 |
mittel
|
| DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der iOS-App sorgte dafür, dass auch nach dem Ausloggen aus einer DRACOON-Umgebung zuvor bereits gespeicherte Favoriten weiterhin unter "Dateien" in iOS sichtbar waren. | DRACOON für iOS 6.1 DRACOON für iOS 5.14 |
22.10.2020 | 2.2 |
niedrig
|
| DRACOON Cloud, DRACOON Server (2019-1) | Die Entwickler-Version der Android-App enthielt ein veraltetes Software-Paket eines Drittanbieters, welches eine Schwachstelle aufwies. | DRACOON für Android 5.6.1 | 24.07.2020 | 3.3 |
niedrig
|
| DRACOON Cloud, DRACOON Server (2019-1) | Ein Fehler in der Android-App führte dazu, dass der festgelegte Sperr-Code beim Entsperren des Bildschirms nicht abgefragt wurde. | DRACOON für Android 5.6.1 | 24.07.2020 | 6.1 |
mittel
|
| DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle auf der OAuth-Anmeldeseite erlaubte die Ausführung von JavaScript-Code über eine Eingabe im Benutzer-Feld. | DRACOON OAuth Service 4.12.4 | 17.07.2020 | 6.8 |
mittel
|
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Media Service 1.4.2 | 13.07.2020 | nicht bewertet | nicht bewertet |
| DRACOON Server (2019-1) | Eine Reflected-XSS-Schwachstelle bei der Verwendung einer spezifischen Adresse, die zum Darstellen von Fehlern verwendet wird, erlaubte die Ausführung von JavaScript-Code. | DRACOON Web App 4.12.2 | 29.05.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | In seltenen Umständen erhielt ein Benutzer eines Webhooks Informationen zu einem anderen, nicht zusammenhängenden Webhook. | DRACOON Event Web Hook Dispatcher 1.0.2 | 07.05.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Benutzer erhielten unter seltenen Umständen Benachrichtigungen über die Verwendung einer Freigabe, die sie nicht erstellt hatten. | DRACOON Event Email Dispatcher 1.0.1 | 02.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON WebDAV Proxy 5.3.1 DRACOON WebDAV Proxy 5.2.2-LTS |
27.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Benachrichtigungen auf Datenräume über neue Dateien wurden in seltenen Fällen ohne Benutzerinteraktion entfernt. | DRACOON Core 4.20.3 | 23.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON BrandingUI 1.2.1-LTS | 02.04.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Der Media-Token wurde in Webhook-Rückmeldungen für das Event "file.created" übermittelt. | DRACOON Core 4.20.0 DRACOON Core 4.20 | 30.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON OAuth Service 4.12.2 DRACOON OAuth Service 4.16.1 |
24.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud, DRACOON Server (2019-1) | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Core 4.12.6 DRACOON Core 4.19 |
10.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON BrandingUI 1.4.2 | 10.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Branding Service 1.3.1 | 05.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON Web App 5.3 | 05.03.2020 | nicht bewertet | nicht bewertet |
| DRACOON Cloud | Spring Boot Update aufgrund einer Schwachstelle in Tomcat: "Ghostcat" – CVE-2020-1938 | DRACOON S3 CMUR Worker 1.3.0 | 05.03.2020 | nicht bewertet | nicht bewertet |
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.