The Navigation Service is part of our SaaS offering for CaaS v3 customers and offers the option of dynamically linking content from FirstSpirit in the navigation area of a website.
On October 1st, 2020 at 10:57 a.m. during an internal examination of the security mechanisms, it was discovered that unauthenticated write access to the Navigation Service was possible.
The gap was closed within an hour and could be traced back to a faulty configuration.
According to the current state of knowledge there are no indications of an exploitation of the security gap, so that no compromising of data records has taken place. The currently stored contents all correspond to the target state.
We are currently continuing to check for signs of possible data manipulation since the introduction of the Navigation Service and are updating the information at this point.
----- german version -----
Geschlossene Sicherheitslücke im Navigation Service
Der Navigation Service ist Bestandteil unseres SaaS-Offerings für CaaS v3 Kunden und bietet die Möglichkeit dynamisch Inhalte aus FirstSpirit im Navigationsbereich einer Webseite zu verlinken.
Am 1.10.2020 um 10:57 Uhr ist bei einer internen Prüfung der Sicherheitsmechanismen aufgefallen, dass unauthentifizierte Schreibzugriffe auf den Navigation Service möglich waren.
Die Lücke wurde innerhalb einer Stunde geschlossen und konnte auf eine fehlerhafte Konfiguration zurückgeführt werden.
Nach derzeitigem Kenntnisstand gibt es keine Hinweise auf eine Ausnutzung der Sicherheitslücke, so dass keine Kompromittierung von Datensätzen stattgefunden hat. Die aktuell gespeicherten Inhalte entsprechen alle dem Soll-Zustand.
Wir überprüfen derzeit weiter auf Anzeichen möglicher Datenmanipulationen seit Einführung des Navigation Service und aktualisieren die Informationen an dieser Stelle.
