Platform
other
Component
polarion
Opgelost in
19.2.1
CVE-2019-13934 beschrijft een Cross-Site Scripting (XSS) kwetsbaarheid in de webclient van Siemens Polarion. Deze kwetsbaarheid stelt een aanvaller in staat om een schadelijk script in te voegen, wat kan leiden tot het stelen van gevoelige informatie of het manipuleren van de gebruikersinterface. De kwetsbaarheid treft alle versies van Polarion die ouder zijn dan 19.2. Een patch is beschikbaar in versie 19.2.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan een aanvaller in staat stellen om willekeurige JavaScript-code uit te voeren in de context van de gebruiker. Dit kan leiden tot het stelen van sessiecookies, het omleiden van gebruikers naar kwaadaardige websites of het wijzigen van de inhoud van de webpagina. Afhankelijk van de configuratie van Polarion en de rechten van de gebruiker, kan de impact variëren van het compromitteren van een individuele gebruikerssessie tot het verkrijgen van controle over de hele applicatie. Het potentiële risico is vergelijkbaar met andere XSS-aanvallen, waarbij de aanvaller de vertrouwde omgeving van de applicatie misbruikt om kwaadaardige acties uit te voeren.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 27 november 2019. Er zijn geen openbare exploitatiebewijzen (PoCs) bekend, maar de XSS-aard van de kwetsbaarheid maakt exploitatie relatief eenvoudig. De KEV-status is momenteel niet bekend. Het is aan te raden om de kwetsbaarheid te patchen om verdere exploitatie te voorkomen.
Organizations utilizing Siemens Polarion for project lifecycle management, particularly those running versions prior to 19.2, are at risk. This includes teams relying on Polarion for requirements management, test management, and release management. Shared hosting environments or deployments with limited security controls may be particularly vulnerable.
• other / web:
curl -I 'https://<polarion_server>/<vulnerable_endpoint>?param=<malicious_script>' | grep 'Content-Security-Policy'• other / web:
curl 'https://<polarion_server>/<vulnerable_endpoint>?param=<malicious_script>' > /tmp/output.html; grep -i '<script>' /tmp/output.htmldisclosure
Exploit Status
EPSS
0.34% (57% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2019-13934 is het upgraden van Siemens Polarion naar versie 19.2 of hoger, waarin de kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van strikte inputvalidatie en output encoding op alle gebruikersinvoer. Het gebruik van een Web Application Firewall (WAF) met XSS-detectie en -preventie regels kan ook helpen om aanvallen te blokkeren. Controleer de Polarion configuratie op onnodige functionaliteit die de aanvalsoppervlakte kan vergroten.
Werk Siemens Polarion bij naar versie 19.2 of hoger. Deze update corrigeert de gereflecteerde XSS kwetsbaarheid in de webclient.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-13934 is a reflected XSS vulnerability in the webclient component of Siemens Polarion, allowing attackers to inject malicious scripts. It affects versions prior to 19.2.
You are affected if you are using Siemens Polarion versions prior to 19.2. Upgrade to 19.2 or later to mitigate the risk.
Upgrade to Siemens Polarion version 19.2 or later. Implement input validation and output encoding as a temporary workaround if immediate upgrade is not possible.
No active exploitation campaigns targeting CVE-2019-13934 have been publicly reported at this time.
Refer to the Siemens Security Notice: https://us-cert.cisa.gov/ics/advisories/icsa-19-311-01
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.