In die Upload-Möglichkeit in der Weboberfläche WebUI könnten Kriminelle beliebige Befehle einschleusen. Durch das cgi-Skript, das serverseitig ausgeführt wird und standardmäßig via HTTP-Server auf TCP-Port 80/443 bereitsteht, wird keine ordnungsgemäße Filterung vorgenommen. Der Projekt-Maintainer Jens Maus erklärt in einer Sicherheitsmeldung, dass sich die Schwachstelle via einfacher http-Anfragen missbrauchen lässt. Betroffen seien die RaspberryMatic-Versionen von 2.31.25.20180428 bis einschließlich 3.61.7.20220226.
Die Version 3.63.8.20220330 wurde von RaspberryMatic veröffentlicht, um die kritische Sicherheitslücke zu schließen. Den Releasenotes zufolge sind in dem Update aber noch viele weitere Verbesserungen enthalten.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Mobile Security finden Sie hier.