In mehreren Produkten von Zohocorp ManageEngine sind teils kritische Schwachstellen entdeckt worden. Jetzt hat das Unternehmen Schwachstelleneinträge dazu veröffentlicht. Softwareupdates zum Schließen der Sicherheitslücken stehen bereit.

In Zohocorp ManageEngine Analytics Plus können Angreifer ohne vorherige Authentifizierung eine SQL-Injection-Schwachstelle missbrauchen, die auf eine unzureichende Filterkonfiguration zurückgeht. Damit könnten Angreifer etwa Konten übernehmen, schreibt der Hersteller. Betroffen sind Version 6170 und ältere (CVE-2025-8324, CVSS 9.8, Risiko „kritisch„). Analytics Plus on-premise Build 6171 aus dem August korrigiert den Fehler.

Im Application Manager bis einschließlich Version 178100 führt eine unzureichende Konfiguration in der „Programm ausführen“-Funktion dazu, dass Angreifer – allerdings nach vorheriger Anmeldung – Befehle einschleusen können (CVE-2025-9223, CVSS 8.8, Risiko „hoch„). Die Schwachstellenbeschreibung beim Hersteller verdeutlicht, dass eine Blacklist verbotener Befehle umgangen werden kann. In den Versionen 178001 bis 178009 sowie 178200 haben die Entwickler das korrigiert.

Weitere verwundbare Produkte

In Exchange Reporter Plus bis einschließlich Version 5723 klaffen gleich vier Sicherheitslücken vom Typ Stored-Cross-Site-Scripting. Laut Einschätzung der Entwickler können Angreifer etwa Konten mit erhöhten Rechten erstellen und darauf unbefugten Zugriff erlangen (CVE-2025-7429, CVE-2025-7430, CVE-2025-7432, CVE-2025-7433; alle CVSS 7.3, Risiko „hoch„). Fehlerkorrigierte Software steht bereits mit Build 5724 und neueren seit Ende Juli dieses Jahres zur Verfügung.

Eine weitere Sicherheitslücke findet sich in OpManager bis inklusive Version 128609 und weiteren Fassungen. In der SNMP-Trap-Verarbeitung können Angreifer eine Stored-Cross-Site-Scripting-Lücke missbrauchen (CVE-2025-9227, CVSS 6.5, Risiko „mittel„). Seit Ende August können Admins die Sicherheitslücke mit der Aktualisierung auf OpManager, OpManager Enterprise Edition, OpManager Plus, OpManager Plus Enterprise Edition und OpManager MSP 128610, 128598, 128543 sowie 128466 schließen. Angreifer könnten die Lücke ausnutzen, um den CSRF- und Session-Token vom Admin zu übernehmen und damit etwa eine Reverse Shell einrichten und beliebigen Code auf dem Server ausführen, erklärt der Hersteller.

Ende Mai hatte das Unternehmen hochriskante Sicherheitslücken in ManageEngine ADAudit Plus geschlossen.

(dmk)

Das erklärte Ziel von Ursula von der Leyen ist es, die Europäische Union in ihrer zweiten Amtszeit als Präsidentin der EU-Kommission wirtschaftlich und geopolitisch zu stärken. Erreichen will sie das offenbar auch durch einen weitgehenden Rückbau des Regelwerkes für die digitale Welt, welches die EU in den vergangenen zehn Jahren gestrickt hat. Davon zeugen Entwürfe für ein geplantes Gesetzespaket, die wir am vergangenen Freitag veröffentlicht haben.

Vier Regulierungsbereiche stehen im Fokus des sogenannten „digitalen Omnibus“: der Datenschutz, Regeln für die Datennutzung, Cyber-Sicherheit und die KI-Verordnung. Der Begriff Omnibus („für alle“) wird in der Gesetzgebung verwendet, wenn mehrere Rechtsakte zeitgeich geändert werden. Offizielles Ziel des umfangreichen Reformvorhabens ist die Vereinfachung und Vereinheitlichung unterschiedlicher Digitalgesetze.

Diese stehen derzeit nicht nur durch Tech-Konzerne und die US-Regierung unter Druck. Auch europäische Unternehmen und mächtige Politiker:innen wie der deutsche Bundeskanzler Friedrich Merz fordern lauthals den Abbau vermeintlich überbordender Bürokratie.

Am 19. November sollen die Pläne für den digitalen Omnibus offiziell vorgestellt werden. Nun wenden sich zahlreiche zivilgesellschaftliche Organisationen gegen die geleakten Pläne und auch mehrere Fraktionen im EU-Parlament kündigen Widerstand an.

Zivilgesellschaft warnt vor historischem Rückschritt

„Das wäre der größte Rückschritt für digitale Grundrechte in der Geschichte der EU“, heißt es in einem heute veröffentlichten Brief von mehr als 120 zivilgesellschaftlichen Organisationen. Was als „technische Straffung“ der EU-Digitalgesetze präsentiert werde, sei „in Wirklichkeit ein Versuch, heimlich Europas stärkste Schutzmaßnahmen gegen digitale Bedrohungen abzubauen“.

Zu den Unterzeichner:innen gehören Organisationen der digitalen Zivilgesellschaft, Gewerkschaften und Verbraucherschutzorganisationen aus ganz Europa, darunter European Digital Rights (EDRi), Amnesty International und Access Now. Aus Deutschland haben unter anderem der Chaos Computer Club, AlgorithmWatch, die Digitale Gesellschaft, D64, HateAid, das Zentrum für Digitalrechte und Demokratie, der Berufsverband der Datenschutzbeauftragten, die Deutsche Vereinigung für Datenschutz und Wikimedia Deutschland mitgezeichnet.

Konkret kritisieren sie unter anderem, dass die Kommission die gerade erst verabschiedeten Regeln für Künstliche Intelligenz in der EU aufweichen will. Eine Registrierungspflicht für hochriskante KI-Systeme müsse ebenso beibehalten werden wie Strafen für ihren unautorisierten Vertrieb. Die EU müsse zudem sicherstellen, dass KI sicher und diskriminierungsfrei entwickelt und demokratisch kontrolliert werde.

Ferner kritisieren die NGOs auch die Pläne zum Rückbau der Datenschutzgrundverordnung (DSGVO). Sie sei nicht nur eine der stolzesten Errungenschaften der EU, sondern auch eines der wenigen Gesetze, das allen Menschen die Kontrolle über ihre sensiblen Daten gebe – seien es Arbeiter:innen, Kinder oder Personen ohne gültige Papiere. Der Brief verweist in diesem Zusammenhang auch auf die Databroker Files, in denen netzpolitik.org zusammen mit internationalen Partnern gerade erst aufgedeckt hatte, wie leicht sich mit kommerziell gehandelten Daten auch Spitzenpersonal der EU ausspionieren lässt.

„Überstürzt und undurchsichtig“

Zwar gebe es dringenden Nachholbedarf bei der Durchsetzung der DSGVO, doch die Digitalgesetze der EU seien „die beste Verteidigung, die wir gegen digitale Ausbeutung und Überwachung durch in- und ausländische Akteure haben“. Wenn die Kommission der Wirtschaft das Leben leichter machen wolle, solle sie diese lieber durch konkrete Leitlinien und Werkzeuge bei der Umsetzung der Regeln unterstützen, statt diese über Bord zu werfen.

Das zivilgesellschaftliche Bündnis kritisiert dabei auch das „überstürzte und undurchsichtige Verfahren“, das demokratische Kontrolle umgehen solle. Getarnt als „Vereinfachung“ mit angeblich nur minimalen Änderungen würde nicht nur der digitale Omnibus soziale Rechte und den Umweltschutz abbauen. Ein anderes Vereinfachungspaket droht gerade parallel die neue EU-Lieferkettenrichtlinie auszuhöhlen, welche Konzerne für Menschenrechtsverletzungen im Ausland zur Verantwortung ziehen sollte.

Bereits Anfang der Woche hatte der österreichische Datenschutzaktivist Max Schrems vor einem Kahlschlag für die Grundrechte in Europa gewarnt und das Vorgehen der EU-Kommission mit „Trumpschen Gesetzgebungspraktiken“ verglichen. In einem ersten Brief hatten die von ihm gegründete Organisation noyb, der Irish Council for Civil Liberties und EDRi schon am Montag nicht mit Kritik gespart.

Sozialdemokrat:innen kündigen Widerstand an

Auch im demokratischen und pro-europäischen Lager des EU-Parlaments formiert sich parteiübergreifender Widerstand gegen die Pläne der Kommission. In offenen Briefe lehnen die Fraktionen von Sozialdemokraten, Liberalen und Grünen die Kommissionspläne sehr weitgehend ab.

Am Dienstag wandten sich führende sozialdemokratische Abgeordnete im Namen der Fraktion der Socialists & Democrats (S&D) gegen die Pläne der Kommission. In einem Schreiben an die zuständige Vizepräsidentin Henna Virkkunen heißt es: „Die S&D-Fraktion wird sich entschieden gegen jeden Versuch stellen, das Schutzniveau für unsere Bürger:innen zu senken.“

Auf vier Seiten zerpflücken die sozialdemokratischen Abgeordneten die einzelnen Vorschläge der Kommission, Schwerpunkte bilden auch hier Datenschutz- und KI-Regulierung. „Wir sind zutiefst besorgt über die vorgeschlagene Aushöhlung der Kernprinzipien der DSGVO, insbesondere über die Verwässerung der Definition von personenbezogenen Daten“, so die Parlamentarier:innen. Sie kritisieren zudem den angedachten Rückbau von Betroffenenrechten, einen geschwächten Schutz vor Werbe-Tracking und von sensiblen Daten.

„Zutiefst beunruhigt“ sind die Sozialdemokrat:innen auch über den Plan, die erst kürzlich verabschiedete KI-Verordnung zu schwächen, bevor diese überhaupt Wirkung entfalten könne. „Anstatt das Gesetz wieder zu öffnen, muss die Priorität auf der raschen Fertigstellung harmonisierter Standards und Leitlinien durch das KI-Büro liegen, um die Wechselwirkungen mit anderen Rechtsvorschriften zu klären.“

Die Abgeordneten stellen ihre Kritik zudem in einen geopolitischen Kontext: „Die globale Führungsrolle der EU im Bereich Regulierung“ werde momentan durch große Tech-Konzerne offen herausgefordert. Mit ihren Vorschlägen setze die EU-Kommission die Vorbildfunktion Europas aufs Spiel. Jetzt nachzugeben und auf Deregulierung zu setzen, schwäche die Position der EU. Der digitale Omnibus müsse „die Integrität der digitalen Rechtsordnung stärken und nicht schwächen“.

Liberale: Vereinfachung ja, aber nicht so

Auch die liberale Fraktion Renew Europe äußert sich kritisch zu den geleakten Reformplänen der Kommission. Man unterstütze das Anliegen, die europäische Wettbewerbsfähigkeit durch bessere Regulierung zu erhöhen, heißt es am Mittwochabend in einem Schreiben an Kommissionspräsidentin von der Leyen. „Wir werden uns jedoch entschieden gegen Maßnahmen wehren, die vorgeben, die Rechtslage zu vereinfachen, aber unsere Datenschutzstandards untergraben und den Schutz der Grundrechte schwächen würden.“

Konkret wenden sich die Liberalen gegen einige Maßnahmen, die die Datenschutzgrundverordnung und die KI-Verordnung aushöhlen würden. So etwa den abgeschwächten Schutz für sensible Daten und die Neudefinition personenbezogener Daten, die auf einer falschen Auslegung der Rechtsprechung des Europäischen Gerichtshofes basiere.

„Wir fordern die Kommission auf, dafür zu sorgen, dass wesentliche Änderungen am digitalen Regelwerk der EU evidenzbasiert und auf Basis angemessener Konsultation und Folgenabschätzung beruhen, insbesondere wenn es um Grundrechte geht“, so der Brief weiter. Die Kommission müsse ihren Vorschlag ändern, bevor sie ihn der Öffentlichkeit präsentiere. Europa müsse beides gemeinsam erreichen: eine wirtschaftliche Führungsrolle und die als Vorreiter für Grundrechte.

Grüne sehen Rückschritt für digitale Souveränität

Mit „großer Sorge“ habe man den kürzlich durchgesickerten Ansatz zum Digital Omnibus wahrgenommen, schreibt am Mittwochabend auch die Fraktion der Grünen im EU-Parlament an Vizepräsidentin Virkkunen. Er zeige, dass die Kommission „weit über technische Klarstellungen hinausgehen und stattdessen Gesetze aufweichen will, die den Grundstein der digitalpolitischen Errungenschaften der EU bilden“.

Neben konkreten Forderungen zum Erhalt von KI-Verordnung, DSGVO und weiteren Gesetzen betonen die Grünen, dass die Reformpläne Europas Streben nach digitaler Souveränität konterkarierten. „Durch die Priorisierung von Deregulierung und Wettbewerbsfähigkeit gegenüber strategischer Autonomie birgt der Omnibus die Gefahr, genau die Schutzmaßnahmen zu schwächen, die die EU zu einem globalen Vorreiter in der Digitalpolitik gemacht haben.“ Unter dem Druck von Big Tech und Lobbyismus der USA sowie einiger Mitgliedstaaten drohe die EU, sich in weitere Abhängigkeit zu deregulieren.

Digitale Gesellschaft kritisiert Bundesregierung

Der Verein Digitale Gesellschaft hebt in einer heute veröffentlichten Pressemitteilung auch die negative Rolle hervor, die die deutsche Regierung in der Sache spielt. Sie hatte dem Vernehmen nach mit einem Positionspapier erheblichen Einfluss auf den Anti-Regulierungskurs der EU. „Statt die Probleme der Digitalisierung in Deutschland endlich effektiv anzugehen, wird mal wieder alle Schuld auf den Datenschutz geschoben“, kritisiert Geschäftsführer Tom Jennissen.

Er erinnert daran, dass die Bundesregierung demnächst einen „europäischen Gipfel zur digitalen Souveränität“ veranstalte. „Doch statt sich endlich aus der Abhängigkeit von Big Tech zu lösen, schleift sie hinter den Kulissen den Rechtsrahmen, der genau diese Tech-Unternehmen unter Kontrolle halten soll.“

Angreifer können an mehreren Sicherheitslücken in Nvidias KI-Plattform Triton Server und den KI-Frameworks AIStore und NeMo ansetzen, um Systeme zu attackieren. Im schlimmsten Fall kann Schadcode auf PCs gelangen. Patches stehen zum Download bereit.

Auch wenn es bislang noch keine Hinweise auf Attacken gibt, sollten Admins mit dem Patchen nicht zu lange zögern.

Geschlossene Lücken

AIStore Framework ist einem Beitrag zufolge auf allen Plattformen über zwei Schwachstellen (CVE-2025-33186 „hoch„, CVE-2025-33185 „mittel„) attackierbar. Die Lücken stecken in der AuthN-Komponente. Angreifer können sich nach erfolgreichen Attacken höhere Nutzerrechte verschaffen und auf eigentlich geschützte Daten zugreifen. Die Entwickler geben an, die Sicherheitsprobleme in der Ausgabe 3.31 gelöst zu haben. Alle vorigen Versionen sind verwundbar.

Eine weitere Warnmeldung zeigt die Lücken (CVE-2025-23361 „hoch„, CVE-2025-33178 „hoch„) in NeMo Framework auf. An diesen Stellen können Angreifer aufgrund von nicht ausreichenden Überprüfungen mittels bestimmter Eingaben Fehler provozieren. Dabei kann es zur Ausführung von Schadcode kommen, wonach Systeme in der Regel als vollständig kompromittiert gelten.

Davon sind alle Plattformen betroffen, auf denen NeMo Framework läuft. Die beiden Schwachstellen haben die Entwickler eigenen Angaben zufolge in der Version 2.5.0 geschlossen.

Nvidia Triton Interference Server ist den Entwicklern zufolge unter Linux und Windows von einer Sicherheitslücke bedroht (CVE-2025-33202 „mittel„). Eine erfolgreiche Attacke löst einen DoS-Zustand aus, sodass es mit hoher Wahrscheinlichkeit zu Abstürzen kommt. Dagegen soll die Ausgabe 25.09 gerüstet sein.

Im September dieses Jahres hat Nvidia Sicherheitsupdates für die KI-Plattformen DGX und HGX veröffentlicht.

(des)