Path Traversal Schwachstelle in VMWare Cloud Foundation gefixt

VMware hat Sicherheitsupdate für VMware Cloud Foundation veröffentlicht, das mehrere kritische Schwachstellen adressiert. Laut der Sicherheitsmeldung VMSA-2025-0009 umfassen die behobenen Probleme drei CVEs mit Schweregraden zwischen 7.3 und 8.2 (CVSSv3 Scores).

Die schwerwiegendste Schwachstelle (CVE-2025-41229, CVSS 8.2) betrifft eine Directory-Traversal-Lücke, durch die Angreifer interne Dienste des Systems kompromittieren könnten. Weiterhin wurden eine Schwachstelle zur Offenlegung sensibler Informationen (CVE-2025-41230, CVSS 7.5) sowie eine Lücke aufgrund fehlender Autorisierung (CVE-2025-41231, CVSS 7.3) gemeldet. Alle genannten Sicherheitslücken ermöglichen einem Angreifer potentiell den Zugang zu sensiblen Informationen oder das Ausführen unbefugter Aktionen auf betroffenen Systemen.

Betroffen sind alle Nutzer von VMware Cloud Foundation in den Versionen 5.x und 4.5.x. VMware empfiehlt dringend, die Sicherheitsupdates (Version 5.2.1.2 für 5.x bzw. Update KB398008 für 4.5.x) umgehend zu installieren, da keine Workarounds verfügbar sind.

Related Posts

Mehrere Schwachstellen in Zoom gepatcht

Zoom Video Communications hat am 13. Mai 2025 einen neuen Sicherheitshinweis veröffentlicht: Insgesamt acht Schwachstellen in verschiedenen Zoom-Anwendungen (Desktop, mobile Apps, SDKs und VDI) wurden mit mittlerem Risiko eingestuft. Betroffen sind unter anderem CVE-2025-46785, CVE-2025-30668 bis CVE-2025-30663 (CWE-20, CWE-126, CWE-476, CWE-78, CWE-362). Ein Angreifer könnte die Lücken über das Netzwerk ausnutzen, um Sicherheitsbeschränkungen zu umgehen oder DoS-Angriffe zu starten. Zoom bestätigt, dass öffentliche Exploits bislang nicht bekannt sind und empfiehlt umgehend das Einspielen der aktuellen Updates. Ein Patch steht auf der Zoom-Website bereit. Nutzer sollten ihre Clients und SDKs zeitnah aktualisieren, um Angriffe zu verhindern.

Read More

SAP Patchday im Mai 2025 schließt kritische Lücken

Am 13. Mai 2025 veröffentlichte SAP den monatlichen Security Patch Day mit insgesamt 16 neuen Security Notes und 2 Updates zu früheren Hinweisen. Kunden sollten die Patches umgehend über das SAP Support Portal einspielen, um ihre Landschaft vor möglichen Angriffen zu schützen.

Read More

Ivanti patcht kritische Lücke CVE-2025-22462 in Ivanti Neurons for ITSM

Ivanti hat am 13. Mai 2025 ein kritisches Sicherheitsupdate für „Ivanti Neurons for ITSM (On-Premises Only)“ veröffentlicht. Die Lücke CVE-2025-22462 (CWE-288) erlaubt einem nicht authentifizierten Angreifer, bei fehlerhafter Konfiguration Administratorrechte zu erlangen (CVSS 9.8 – kritisch; Environmental Score 6.9 – mittel). Betroffen sind die Versionen 2023.4, 2024.2 und 2024.3; je ein „May 2025 Security Patch“ steht über das Ivanti-Downloadportal bereit. Ivanti empfiehlt, den Patch umgehend einzuspielen und den Zugriff auf die IIS-Instanz netzwerkseitig (IP-Whitelist, DMZ) einzuschränken, um das Risiko weiter zu minimieren. Bislang sind keine Ausnutzungen in Kundenumgebungen bekannt.

Read More