Kritisk SAP S/4HANA sårbarhet (CVE-2025-42957) utnyttes nå aktivt i angrep. Kritisk Argo CD sårbarhet i API eksponerer repository legitimasjon.
Kritisk SAP S/4HANA sårbarhet (CVE-2025-42957) utnyttes nå aktivt i angrep
En svært alvorlig ABAP kodeinjeksjonsfeil i SAP S/4HANA, identifisert som CVE-2025-42957 (CVSS 9.9), blir nå aktivt utnyttet. Sårbarheten finnes i en funksjonsmodul eksponert via RFC, som lar brukere med lavt privilegium injisere vilkårlig ABAP kode, omgå autorisasjon og i praksis overta hele SAP systemet. SAP utstedte en sikkerhetsoppdatering 11. august 2025, men flere systemer er fortsatt ubeskyttet og derfor i fare. SecurityBridge har bekreftet faktisk utnyttelse, og sårbarheten er alvorlig fordi patchen enkelt kan omgås via reversering, gitt at ABAP kildekoden er åpen.
Kritisk Argo CD sårbarhet i API eksponerer repository legitimasjon
En kritisk sårbarhet i Argo CD (CVE-2025-55190) gjør at API tokens med begrensede rettigheter kan aksessere endpoints og hente ut alle repository legitimasjoner i klartekst. Sårbarheten har maksimal CVSS score på 10.0 og bryter isolasjonsmekanismer designet for å beskytte sensitive data, noe som muliggjør uautorisert kloning av kode, manipulering, eller videre kompromittering.
Oppgrader Argo CD til oppdatert versjon snarest: v2.13.9, v2.14.16, v3.0.14 eller v3.1.2.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.