Storefront Sicherheitslücke - Server Dateizugriff ggf. möglich

Eine neue Sicherheitslücke CVE-2020-8200 in Citrix Storefront erlaubt ggf. Zugriff auf das Dateisystem des Servers. Dies betrifft unter anderem das aktuelle Long Time Service Release. Es scheint als müssen Angreifer Mitglied der gleichen Domäne sein wie der Storefront-Server um die Lücke auszunutzen. Ein Update ist dringend erforderlich.

 

Betroffene Versionen sind:

  • Citrix StoreFront vor 1909
  • Citrix StoreFront 1912 LTSR vor CU1 (1912.0.1000)
  • Citrix StoreFront 3.12 for 7.15 LTSR vor CU5 Hotfix (3.12.5001)
  • Citrix StoreFront 3.0 for 7.6 LTSR vor CU8 Hotfix (3.0.8001)

 

Da Storefront 1909 auf der gleichen Codebasis wie 1912 LTSR beruht müsste hier auch die Verwundbarkeit bestehen. Updates können direkt heruntergeladen werden unter https://www.citrix.com/downloads/storefront/

 

Nähere Infos sind direkt beim Hersteller hier zu finden.