Zwei signifikante Schwachstellen wurden im **SpiceJet** Online-Buchungssystem identifiziert, die potenziell die Privatsphäre von Passagieren beeinträchtigen könnten. Diese Schwachstellen, die unten detailliert beschrieben werden, könnten Angreifern ermöglichen, ohne entsprechende Autorisierung auf sensible Informationen zuzugreifen. ### Zusammenfassung der Schwachstellen Laut einem Bericht von CISA könnte die erfolgreiche Ausnutzung dieser Schwachstellen einem Angreifer ermöglichen, sensible Informationen preiszugeben. Die folgenden Versionen des SpiceJet Online-Buchungssystems sind betroffen: * Online Booking System vers:all/* (**CVE-2026-6375**, **CVE-2026-6376**) | CVSS | Vendor | Equipment | Vulnerabilities | | :----- | :-------- | :---------------------------- | :---------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | v3 7.5 | SpiceJet | SpiceJet Online Booking System | Authorization Bypass Through User-Controlled Key, Missing Authentication for Critical Function | * **Kritische Infrastruktursektoren:** Transportsysteme * **Eingesetzte Länder/Gebiete:** Weltweit * **Hauptsitz des Unternehmens:** Indien ### CVE-2026-6375: Authorization Bypass Through User-Controlled Key Diese Schwachstelle ermöglicht es nicht authentifizierten Benutzern, Passagiernamen-Datensätze (PNRs) ohne Zugriffskontrollen abzufragen. Da PNR-Bezeichner einem vorhersehbaren Muster folgen, könnte ein Angreifer gültige Datensätze systematisch aufzählen und zugehörige Passagiernamen erhalten. Dieser Fehler beruht auf fehlenden Autorisierungsprüfungen für einen Endpunkt, der für den Zugriff auf authentifizierte Profile vorgesehen ist. [CVE-Details anzeigen](https://www.cve.org/CVERecord?id=CVE-2026-6375) **Betroffene Produkte:** * **Hersteller:** SpiceJet * **Produktversion:** SpiceJet Online Booking System: vers:all/* * **Produktstatus:** known_affected * **Relevante CWE:** [CWE-639 Authorization Bypass Through User-Controlled Key](https://cwe.mitre.org/data/definitions/639.html) ### CVE-2026-6376: Missing Authentication for Critical Function Diese Schwäche ermöglicht den Zugriff auf vollständige Passagierbuchungsdetails unter Verwendung nur eines PNR und Nachnamens, ohne Authentifizierungs- oder Verifizierungsmechanismen. Dies führt zur Offenlegung umfangreicher persönlicher, Reise- und Buchungsmetadaten für jeden nicht authentifizierten Benutzer, der diese grundlegenden Eingaben erhalten oder erraten kann. Das Problem ergibt sich aus einer unsachgemäßen Zugriffskontrolle für eine Funktion zur Abfrage sensibler Daten. [CVE-Details anzeigen](https://www.cve.org/CVERecord?id=CVE-2026-6376) **Betroffene Produkte:** * **Hersteller:** SpiceJet * **Produktversion:** SpiceJet Online Booking System: vers:all/* * **Produktstatus:** known_affected * **Relevante CWE:** [CWE-306 Missing Authentication for Critical Function](https://cwe.mitre.org/data/definitions/306.html) ### Abhilfemaßnahmen CISA empfiehlt Benutzern, Abwehrmaßnahmen zu ergreifen, um das Risiko der Ausnutzung dieser Schwachstellen zu minimieren: * Minimieren Sie die Netzwerkaussetzung für alle Steuerungsgerätesysteme und/oder -systeme und stellen Sie sicher, dass sie nicht aus dem Internet erreichbar sind. * Platzieren Sie Steuerungsnetzwerke und Fernzugangsgeräte hinter Firewalls und isolieren Sie sie von Geschäftsnetzwerken. * Wenn Fernzugriff erforderlich ist, verwenden Sie sicherere Methoden wie Virtual Private Networks (VPNs). Beachten Sie, dass VPNs Schwachstellen aufweisen können und auf die aktuellste verfügbare Version aktualisiert werden sollten. Beachten Sie auch, dass VPNs nur so sicher sind wie die verbundenen Geräte. CISA erinnert Organisationen daran, vor der Implementierung von Abwehrmaßnahmen eine ordnungsgemäße Auswirkungsanalyse und Risikobewertung durchzuführen. Organisationen, die verdächtige bösartige Aktivitäten beobachten, sollten die etablierten internen Verfahren befolgen und die Ergebnisse an CISA zur Verfolgung und Korrelation mit anderen Vorfällen melden. CISA empfiehlt den Benutzern außerdem, die folgenden Maßnahmen zu ergreifen, um sich vor Social-Engineering-Angriffen zu schützen: * Klicken Sie nicht auf Weblinks und öffnen Sie keine Anhänge in unerbetenen E-Mail-Nachrichten. * Weitere Informationen zur Vermeidung von E-Mail-Betrug finden Sie unter Recognizing and Avoiding Email Scams. * Weitere Informationen zu Social-Engineering-Angriffen finden Sie unter Avoiding Social Engineering and Phishing Attacks.