|
Komponente |
d.ecs dms |
|---|---|
|
Version |
vor Version d.velop documents Annual 2025 |
|
Erstellt am |
|
|
Zuletzt geändert am |
May-22-2026, 09:02 |
|
Reviewstatus |
APPROVED (2) |
|
KB-Artikelnummer |
2394161354 |
Zusammenfassung
d.velop hat Injection-Schwachstellen in der Komponente d.ecs dms (d.velop documents-Webclient) von d.velop documents identifiziert, wodurch potenziell unberechtigter Zugriff auf Daten in Ihrem System erfolgen kann. Die Schwachstellen sind vom Typ Cross-Site-Scripting (XSS) und HTML-Injection und ermöglichen Angreifenden, beliebigen Code im Browser von Anwendenden auszuführen oder die Oberfläche zu manipulieren, wenn Anwendende dazu gebracht werden, auf einen präparierten Link zu klicken.
d.velop hat bisher keine Ausnutzung der Schwachstelle bei Kunden beobachtet und empfiehlt ein gut geplantes und ausreichend vorbereitetes Einspielen des Updates.
Wichtige Voraussetzungen
Wenn Sie d.velop documents in der Cloud einsetzen, ist Ihr System bereits automatisch auf dem neuesten Stand. Es sind keine weiteren Maßnahmen erforderlich.
Wenn Sie d.velop documents On-Premises einsetzen, finden Sie weiter unten die betroffenen Versionen und im Abschnitt Lösung die entsprechenden Handlungsempfehlungen.
Die Schwachstellen betreffen alle älteren Versionen der Komponente d.ecs dms. Zur Identifikation Ihrer eingesetzten Version hilft Ihnen unser KB-Artikel weiter.
Lösung
Die Schwachstellen sind ab den folgenden Versionen behoben:
-
Annual-Feed: d.ecs dms 3.0.37 in der d.velop documents-Version Annual 2025 Patch 12b
-
Current-Feed: d.ecs dms 4.0.15 in der d.velop documents-Version Current 2026.Q1 Patch 3b
Die Updates werden in d.velop software manager bereitgestellt. Aktualisieren Sie die Software auf die oben genannten Versionen.
CVSS
Base Score: 8.1 (High)
Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N