Connect with us

Datenschutz & Sicherheit

Angreifer attackieren kritische Lücke in Adobe Commerce und Magento


Für eine kritische Sicherheitslücke in Adobes Shop-Systemen Commerce und Magento stehen seit September Updates zum Schließen bereit. Die sollten Admins zügig installieren – Attacken auf die Schwachstellen laufen inzwischen.

Weiterlesen nach der Anzeige

Adobe hat die Sicherheitsmitteilung zur Schwachstelle inzwischen angepasst und ergänzt, dass das Unternehmen von Angriffen im Internet auf die Lücke weiß. Richtig konkret wird das Unternehmen bei der Schwachstellenbeschreibung nicht, sondern zieht sich abstrakt auf „Common Weakness Enumeration“-Einordnung der Probleme zurück. Demnach handelt es sich um eine unzureichende Eingabeprüfung (Improper Input Validation, CWE-20), die zur Umgehung von Sicherheitsfunktionen führt (CVE-2025-54236, CVSS 9.1, Risiko „kritisch„). Im zugehörigen CVE-Eintrag findet sich der konkretere Hinweis, dass „erfolgreiche Angreifer das missbrauchen können, um Sessions zu übernehmen“. Nutzerinteraktion ist zum Missbrauch nicht nötig.

Eine technisch tiefergehende Analyse findet sich bei NullSecurityX. Es handelt sich um eine Deserialisierungs-Schwachstelle, die die IT-Forscher „SessionReaper“ genannt haben. „Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, REST-, GraphQL- oder SOAP-API-Endpunkte auszunutzen, was zu einer Übernahme der Sitzung oder unter bestimmten Bedingungen (etwa dateibasierter Session-Speicher) zur Ausführung von Code aus dem Netz (RCE) führen kann“, erörtern sie dort.

Cyberangriffe haben begonnen

Die IT-Analysten von Sansec haben nun seit Mittwoch aktive Angriffe auf die Sicherheitslücke „SessionReaper“ beobachtet. Den Autoren des Sicherheitsberichts zufolge haben derzeit lediglich 38 Prozent der Adobe-Commerce und -Magento-Stores die Sicherheitsupdates installiert – mehr als 60 Prozent der Shops sind damit noch verwundbar. IT-Sicherheitsforscher von Assetnote haben eine Analyse des Patches vorgelegt und die Deserialisierungslücke darin vorgeführt.

Erste Angriffe haben die IT-Forscher bereits beobachtet, Proof-of-Concept-Exploits sind öffentlich verfügbar. Daher rechnen die Analysten damit, dass nun massive Angriffe bevorstehen. Cyberkriminelle nehmen den Exploit-Code in ihre Werkzeugkästen auf und scannen das Netz automatisiert nach verwundbaren Instanzen. IT-Verantwortliche sollten die von ihnen betreuten Magento- und Commerce-Shops umgehend mit den bereitstehenden Aktualisierungen versorgen.


(dmk)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Sicherheitsupdate GitLab: Angreifer können Zwei-Faktor-Authentifizierung umgehen


GitLab ist über fünf Softwareschwachstellen angreifbar. Nach erfolgreichen Attacken kann es zu Abstürzen kommen oder Angreifer hebeln die Zwei-Faktor-Authentifizierung (2FA) aus.

Weiterlesen nach der Anzeige

In einer Warnmeldung versichern die Entwickler, dass auf GitLab.com bereits abgesicherte Ausgaben laufen. Admins, die die Softwareentwicklungsumgebung selbst hosten, müssen die reparierten Versionen Community Edition (CE) und Enterprise Edition (EE) 18.8.2, 18.7.2 oder 18.6.4 installieren.

Darin haben die Entwickler insgesamt fünf Sicherheitslücken geschlossen. Davon sind drei mit dem Bedrohungsgrad „hoch“ eingestuft (CVE-2025-13927, CVE-2025-13928, CVE-2026-0723). Über die ersten beiden Schwachstellen können Angreifer DoS-Zustände und somit Abstürze auslösen. Verfügt ein Angreifer über eine Credential ID eines Nutzers, kann er mit präparierten Anfragen die 2FA aushebeln.

Die GitLab-Entwickler raten zu einem zügigen Update.


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Firmenübernahme: US-TikTok rückt zu Trump


Auf in eine amerikanische Zukunft: Skulptur mit dem TikTok-Logo in Shanghai. – Alle Rechte vorbehalten IMAGO / CFOTO

Die chinesische Firma ByteDance hat einen Großteil des US-Geschäfts ihrer Video-App TikTok verkauft. Sie behält 19,9 Prozent der Anteile, der Rest geht an ein internationales Konsortium. Die größten Investoren darin sind mit jeweils 15 Prozent ein Staatskonzern der Vereinigten Arabischen Emirate, die US-Investmentfirma Silver Lake und der Cloud-Dienst-Anbieter Oracle. Dessen Gründer Larry Ellison ist ein alter Trump-Vertrauter.

Die US-Version der App soll künftig auf Oracle-Servern laufen. Oracle wird auch dafür verantwortlich sein, die Einhaltung nationaler Sicherheitsstandards zu überwachen und den Algorithmus anzupassen, über den personalisierte Inhalte gesteuert werden. Der Plan ist, eine Kopie des Codes, den ByteDance entwickelt hat, mit den Daten von US-Bürger*innen zu trainieren.

Verkauf auf Druck der US-Regierung

TikTok ist mit dem Verkauf einem Verbot entgangen, das die US-Regierung angedroht hatte. Die sah die Gefahr, dass der chinesische Staat über die App die Meinung von US-Amerikaner*innen manipulieren könnte und deren Daten abgreifen. 2024 verabschiedete sie ein Gesetz, nach dem ByteDance seine US-Geschäfte verkaufen musste, sonst wäre TikTok aus den App-Stores von Apple und Google verbannt worden. Donald Trump hatte einst auf das Verbot gedrängt, nach einem scheinbaren Sinneswandel dem Unternehmen dann aber immer wieder mehr Zeit gegeben, um eine einvernehmliche Lösung zur weitgehend Abspaltung des US-Geschäfts zu finden.

Nun rückt TikTok ein gutes Stück weg von der chinesischen Regierung – hin zur amerikanischen. Donald Trump hat dann nicht mehr nur sein eigenes Soziales Netzwerk Truth Social, sowie Einfluss auf die Plattformen seiner Kumpels Elon Musk (X) und Mark Zuckerberg (Facebook, Instagram), sondern über Larry Ellison auch einen kurzen Draht zu TikTok. Der Oracle-Gründer ist der fünftreichste Menschen der Welt, vier Plätze nach Musk, einer vor Zuckerberg.



Source link

Weiterlesen

Datenschutz & Sicherheit

Videokonferenzsoftware: Zoom Node möglicher Ansatzpunkt für Schadcode-Attacken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Zoom-Node-Server sind verwundbar, und Angreifer können Schadcode ausführen. Um die Kompromittierung von Systemen vorzubeugen, müssen Admins den verfügbaren Sicherheitspatch installieren.

Weiterlesen nach der Anzeige

Über Zoom Node hosten Admins für Unternehmen Zoom-Workloads wie Meetings und Videoanrufe. In einer Warnmeldung führen die Entwickler aus, dass die nun geschlossene Sicherheitslücke (CVE-2026-22844) mit dem Bedrohungsgrad „kritisch“ eingestuft ist.

Die Schwachstelle betrifft konkret die Komponente Multimedia Routers (MMRs). Damit eine Attacke gelingt, muss ein Angreifer Teilnehmer eines Meetings sein. Ist das gegeben, kann er auf einem nicht näher beschriebenen Weg Schadcode ausführen.

In der Warnmeldung gibt es keine Hinweise, dass Angreifer die Lücke bereits ausnutzen. Admins sollten mit dem Patchen aber nicht zu lange zögern und zeitnah eine der abgesicherten Versionen installieren. Alle vorigen Ausgaben sollen verwundbar sein.

  • Zoom Node Meetings Hybrid (ZMH) MMR module 5.2.1716.0
  • Zoom Node Meeting Connector (MC) MMR module 5.2.1716.0


(des)



Source link

Weiterlesen

Beliebt