Admins von Atlassian-Software sollten zeitnah Confluence Data Center und Jira Data Center auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer an zwei Sicherheitslücken ansetzen, um Systeme zu attackieren.

Jetzt Systeme schützen

Eine Schwachstelle (CVE-2025-22167 „hoch„) betrifft Jira Software Data Center und Jira Software Server. An dieser Stelle können Angreifer im Zuge einer Path-Traversal-Attacke unrechtmäßig auf Daten zugreifen. In einer Warnmeldung versichern die Entwickler, dass sie die Lücke in den Versionen 9.12.28, 10.3.12 und 11.1.0 geschlossen haben.

Die Schwachstelle (CVE-2025-22166 „hoch„) in Confluence Data Center dient einem Beitrag zufolge als Ansatzpunkt für DoS-Attacken. An dieser Stelle schaffen die Ausgaben 8.5.25, 9.2.7 und 10.0.2 Abhilfe.

Auch wenn es noch keine Berichte zu laufenden Angriffen gibt, sollten Admins mit der Installation der Sicherheitsupdates nicht zu lange warten.

(des)

Für eine kritische Sicherheitslücke in Adobes Shop-Systemen Commerce und Magento stehen seit September Updates zum Schließen bereit. Die sollten Admins zügig installieren – Attacken auf die Schwachstellen laufen inzwischen.

Adobe hat die Sicherheitsmitteilung zur Schwachstelle inzwischen angepasst und ergänzt, dass das Unternehmen von Angriffen im Internet auf die Lücke weiß. Richtig konkret wird das Unternehmen bei der Schwachstellenbeschreibung nicht, sondern zieht sich abstrakt auf „Common Weakness Enumeration“-Einordnung der Probleme zurück. Demnach handelt es sich um eine unzureichende Eingabeprüfung (Improper Input Validation, CWE-20), die zur Umgehung von Sicherheitsfunktionen führt (CVE-2025-54236, CVSS 9.1, Risiko „kritisch„). Im zugehörigen CVE-Eintrag findet sich der konkretere Hinweis, dass „erfolgreiche Angreifer das missbrauchen können, um Sessions zu übernehmen“. Nutzerinteraktion ist zum Missbrauch nicht nötig.

Eine technisch tiefergehende Analyse findet sich bei NullSecurityX. Es handelt sich um eine Deserialisierungs-Schwachstelle, die die IT-Forscher „SessionReaper“ genannt haben. „Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, REST-, GraphQL- oder SOAP-API-Endpunkte auszunutzen, was zu einer Übernahme der Sitzung oder unter bestimmten Bedingungen (etwa dateibasierter Session-Speicher) zur Ausführung von Code aus dem Netz (RCE) führen kann“, erörtern sie dort.

Cyberangriffe haben begonnen

Die IT-Analysten von Sansec haben nun seit Mittwoch aktive Angriffe auf die Sicherheitslücke „SessionReaper“ beobachtet. Den Autoren des Sicherheitsberichts zufolge haben derzeit lediglich 38 Prozent der Adobe-Commerce und -Magento-Stores die Sicherheitsupdates installiert – mehr als 60 Prozent der Shops sind damit noch verwundbar. IT-Sicherheitsforscher von Assetnote haben eine Analyse des Patches vorgelegt und die Deserialisierungslücke darin vorgeführt.

Erste Angriffe haben die IT-Forscher bereits beobachtet, Proof-of-Concept-Exploits sind öffentlich verfügbar. Daher rechnen die Analysten damit, dass nun massive Angriffe bevorstehen. Cyberkriminelle nehmen den Exploit-Code in ihre Werkzeugkästen auf und scannen das Netz automatisiert nach verwundbaren Instanzen. IT-Verantwortliche sollten die von ihnen betreuten Magento- und Commerce-Shops umgehend mit den bereitstehenden Aktualisierungen versorgen.

(dmk)

Microsoft hat am frühen Freitagmorgen ein Update außer der Reihe für die Windows Server Update Services (WSUS) veröffentlicht. Es schließt laut Microsoft eine kritische Sicherheitslücke korrekt, durch die Angreifer Schadocde einschleusen und ausführen können. Ein Proof-of-Concept-Exploit ist den Redmondern zufolge inzwischen aufgetaucht. Admins sollten daher zügig handeln und den neuen Patch anwenden.

Darauf weist ein Eintrag in Windows-Release-Health-Message-Center von 4 Uhr mitteleuropäischer Sommerzeit am Freitagmorgen hin. „Microsoft hat eine Remote-Code-Execution-Schwachstelle (RCE) im Berichtswebdienst der Windows Server Update Services (WSUS) entdeckt“, schreiben die Entwickler dort. „Ein Update-außer-der Reihe (Out-of-band, OOB) wurde am 23. Oktober veröffentlicht, um das Problem anzugehen“ – durch die Zeitverschiebung ist es zum Meldungszeitpunkt an der Pazifikküste der USA noch Donnerstag. Microsoft führt weiter aus: „Es handelt sich um ein kumulatives Update. [..] Sofern Sie die Windows-Sicherheitsupdates aus dem Oktober noch nicht installiert haben, empfehlen wir, das Update-außer-der-Reihe stattdessen zu anzuwenden.“ Nach der Aktualisierung ist ein Neustart erforderlich.

Angriff ohne vorherige Authentifizierung möglich

Microsoft hat zum Oktober-Patchday bereits einen Softwareflicken zum Schließen der Lücke veröffentlicht. Die Beschreibung der Schwachstelle lautet: „Die Deserialisierung nicht vertrauenswürdiger Daten im Windows Server Update Service ermöglicht es einem nicht autorisierten Angreifer, Code über ein Netzwerk auszuführen“ (CVE-2025-59287, CVSS 9.8, Risiko „kritisch„).

Die Entwickler schreiben dort im Widerspruch zum Eintrag im Message Center, dass zum vollständigen Korrigieren der Schwachstelle Kunden mit Windows-Servern das Update-außer-der-Reihe anwenden sollen. Sie nennen auch einen Workaround, der unbedingt bis zur Installation der Updates angewendet werden sollte: Entweder deaktivieren Admins den WSUS, oder sie blockieren den Zugriff auf dessen Ports 8530 und 8531 auf der Host-Firewall und machen ihn so unerreichbar.

Das Update steht für diverse Server zur Verfügung:

Es handelt sich bereits um das zweite ungeplante Update im Oktober. Am Dienstag hat Microsoft ein Update außer der Reihe veröffentlicht, das ein Problem mit der Windows-Wiederherstellungsumgebung korrigiert. Die ließ sich nach den Sicherheitspatches vom Oktober nicht mehr mit USB-Tastaturen und -Mäusen bedienen.

(dmk)