Kritische Sicherheitslücke CVE-2025-31324 in SAP NetWeaver entdeckt

Eine gravierende Sicherheitslücke mit der Kennung CVE-2025-31324 gefährdet aktuell zahlreiche SAP-Systeme weltweit. Mit einer extrem kritischen Bewertung von 9,9 (CVSS) betrifft diese Schwachstelle den SAP NetWeaver Application Server Java. Konkret ermöglicht der Fehler unbefugten Zugriff auf den UDDI-Dienst (Universal Description, Discovery, and Integration) ohne jegliche Authentifizierung.

Angreifer können dadurch ungehindert sensible Informationen auslesen, manipulieren oder löschen, was zu massiven Störungen betriebswichtiger Anwendungen und Systemen führen kann. Der Angriff setzt lediglich grundlegenden Netzwerkzugang voraus und keine komplexen technischen Kenntnisse.

SAP empfiehlt betroffenen Unternehmen dringend, die verfügbaren Sicherheitsupdates sofort zu installieren und Zugriffe auf UDDI-Dienste streng einzuschränken.

Related Posts

Kritische Sicherheitslücken in Grafana gepatcht

Am 22. April 2025 hat Grafana Labs für alle aktuellen Zweige von Grafana OSS und Enterprise Sicherheitspatches veröffentlicht (u. a. Grafana 11.6.0+security-01, 11.5.3+security-01, 11.4.3+security-01, 11.3.5+security-01, 11.2.8+security-01 und 10.4.17+security-01). Enthalten sind ein High-Severity-Fix für CVE-2025-3260 (Umgehung von Dashboard-Rechten für Viewer und Editor) sowie Medium-Severity-Patches für CVE-2025-2703 (DOM-XSS im XY-Chart-Plugin) und CVE-2025-3454 (Autorisierungs-Bypass in der Data-Source-Proxy-API). Grafana Cloud sowie Managed-Services bei AWS und Azure wurden vorab gepatcht. Betreiber sollten umgehend auf die genannten Versionen aktualisieren, um ihre Systeme zu schützen.

Read More

Krtische Lücke in der SSH‑Implementierung von Erlang/OTP (CVE‑2025‑32433)

Eine maximal kritische Sicherheitslücke in der SSH‑Implementierung von Erlang/OTP (CVE‑2025‑32433) ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auf betroffenen Systemen auszuführen. Betroffen sind alle Installationen mit OTP‑Versionen bis einschließlich 27.3.2, 26.2.5.10 und 25.3.2.19. Durch gezielt manipulierte SSH‑Nachrichten kann ein Angreifer über das Netzwerk volle Kontrolle über den Server erlangen, sensible Daten kompromittieren oder den Dienst lahmlegen. Nutzer sollten umgehend auf die gepatchten Versionen 27.3.3, 26.2.5.11 bzw. 25.3.2.20 aktualisieren. Bis zum Update empfiehlt sich, den SSH‑Dienst abzuschalten oder den Zugriff per Firewall zu beschränken. Entdeckt wurde der Fehler von Fabian Bäumer, Marcel Maehren, Marcus Brinkmann und Jörg Schwenk von der Ruhr‑Universität Bochum.

Read More

eBay aktualisiert Datenschutzerklärung – Nutzerbewertungen als KI‑Trainingsdaten

Seit Ostermontag weist eBay in seiner überarbeiteten Datenschutzerklärung darauf hin, dass Nutzerdaten künftig nicht nur für personalisierte Services, sondern auch zum Trainieren, Testen und Validieren eigener und Drittanbieter‑KI‑Modelle verwendet werden. Im März kam eine E‑Mail, die auf die Neuerung hinwies, ohne jedoch zu erläutern, welche Daten konkret betroffen sind oder wie genau sie zum Einsatz kommen.

Read More