MOVEit WAF: Zwei kritische Command-Injection-Schwachstellen geschlossen

Progress hat zwei schwerwiegende Sicherheitslücken in MOVEit WAF veröffentlicht, die als CVE-2025-13444 und CVE-2025-13447 geführt werden. Beide Schwachstellen ermöglichen über die Weboberfläche oder API eine Command Injection und können in der Folge zu Remote Code Execution führen.

CVE-2025-13444 betrifft die Funktion getcipherset, während CVE-2025-13447 mehrere weitere UI- und API-Funktionen wie addapikey, delapikey, delcert, dmidecode, listapikeys und ssodomain umfasst. Nach Angaben des Herstellers liegen bislang keine Hinweise auf eine aktive Ausnutzung vor, dennoch wird ein hohes Risiko angenommen.

Seit dem 12. Januar 2026 steht ein Sicherheitsupdate für MOVEit WAF bereit. Verwundbar ist die Version 7.2.62.1, behoben wurde das Problem in Version 7.2.62.2. Die Fixes werden zudem in alle zukünftigen Versionen integriert.

Administratoren wird dringend empfohlen, die Updates zeitnah einzuspielen und zusätzlich die vom Hersteller empfohlenen Security-Hardening-Maßnahmen umzusetzen, um das Risiko einer möglichen Kompromittierung zu minimieren.

Related Posts

Gmail erhält KI-gestütztem Posteingang

Google hat den Start der sogenannten Gemini-Ära für Gmail angekündigt und führt 2026 umfangreiche KI-Funktionen ein, die den E-Mail-Alltag stärker automatisieren sollen. Ziel ist es, Gmail von einem reinen Postfach zu einem proaktiven, persönlichen Assistenten weiterzuentwickeln.

Read More

CVE-2026-20824 Windows Remote Assistance umgeht Downloadprüfung

Microsoft hat eine Schwachstelle in Windows Remote Assistance behoben, die es Angreifern ermöglicht, die Mark-of-the-Web-(MOTW)-Schutzmechanismen zu umgehen. Die unter CVE-2026-20824 geführte Lücke wird als Fehler in einem Schutzmechanismus eingestuft und besitzt einen CVSS-Score von 5,5.

Read More

„Truman Show“-Scam: KI-generierte Scheinwelt tarnt großangelegten Investmentbetrug

Sicherheitsforscher des Harmony Mobile Detection Teams haben eine hochentwickelte Investmentbetrugs-Kampagne mit dem Namen OPCOPRO offengelegt, die vollständig auf KI-gestützter Social Engineering basiert. Die Angreifer nutzen legitime Android- und iOS-Apps aus offiziellen App-Stores sowie künstlich erzeugte WhatsApp- und Telegram-Communities, um Opfer über Wochen hinweg in eine kontrollierte Scheinrealität zu ziehen.

Read More