Informierte Stellen: CLUBSPEED, LLC. (am 10.03.2025)

Clubspeed entwickelt Software für Kartbahnen. In der Software und im Umfeld der Software gab und gibt es diverse Schwachstellen:

• AWS-Zugangsdaten, die für Backups genutzt wurden, und ein github personal token waren offen zugänglich
• Der github personal token ist auch Teil des Update-Scripts und erlaubt den Zugriff auf neun Github-Repositories. Der Quellcode enthält weitere Zugangsdaten im Klartext
• Per Remote Code Execution kann Code auf den Servern ausgeführt werden
• Standard-Zugangsdaten erlauben den Zugriff auf verschiedene Backends
• Dank fehlender Authentifizierungsmechanismen kann jede Person Rennen starten und stoppen
• Angreifer könnten den Autoupdater kontrollieren und übernehmen
• XSS
• Teile der Infrastruktur werden auf Windows Server 2012 betrieben