EN

Tilkynna atvik
Tilkynna atvik
  • Frettasafn
  • /
  • frett
  • /
  • Fréttir
  • Alvarlegir veikleikar hjá SAP, Microsoft, WordPress, JetBrains og Avast

Alvarlegir veikleikar hjá SAP, Microsoft, WordPress, JetBrains og Avast

Tilkynnt var um alvarlega veikleika í hugbúnaði frá SAP, Microsoft, WordPress, JetBrains og Avast sem geta haft veruleg áhrif á öryggi, rekstur og trúnað upplýsinga. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikarnir hafa verið lagfærðir.

Alvarlegir veikleikar

SAP hugbúnaður

Veikleikarnir CVE-2025-42890 og CVE-2025-42887 með CVSSv3 10.0 og 9.9 hafa áhrif á SQL Anywhere Monitor og Solution Manager.
Fyrri veikleikinn felst í því að auðkenni og lyklar eru innbyggðir í kóða (e. baked credentials), sem getur leitt til keyrslu á spillikóða og kerfisyfirtöku.
Seinni veikleikinn tengist ófullnægjandi inntaksprófun (e. missing input sanitation) sem gerir auðkenndum aðilum kleift að setja inn spillikóða og ná stjórn á kerfinu [1,2,3].

Microsoft Windows

Veikleikinn CVE-2025-60724 með CVSSv3 9.8 er yfirflæði í hrúgubundnu biðminni (e. heap-based buffer overflow) í Microsoft Graphics Component sem gerir fjartengdum aðilum kleift að framkvæma keyrslu á kóða (e. remote code execution) [4].

WordPress viðbætur

Nokkrir alvarlegir veikleikar hafa komið upp í vinsælum WordPress viðbótum:
CVE-2025-12813 (Holiday Class Post Calendar) með CVSSv3 9.8 gerir óauðkenndum aðilum kleift að framkvæma fjarkeyrslu kóða vegna ófullnægjandi inntaksprófunar.
CVE-2025-12539 (TNC Toolbox: Web Performance) með CVSSv3 10.0 felur í sér gagnaleka þar sem cPanel API-auðkenni eru vistuð óvarin í vefmöppu, sem getur leitt til fjarkeyrslu og yfirtöku þjóns.
CVE-2025-11457 (EasyCommerce) með CVSSv3 9.8 gerir óauðkenndum notendum kleift að hækka réttindi sín og fá stjórnendaaðgang (e. privilege escalation).
CVE-2025-11170 (CPI WP Migration for CPI) með CVSSv3 9.8 gerir kleift að hlaða upp skrám (e. arbitrary file upload) og keyra þær á þjóninum [5,6,7,8,9].

JetBrains YouTrack

Veikleikinn CVE-2025-64689 með CVSSv3 9.6 stafar af rangstillingu (e. misconfiguration) í Junie-kerfi YouTrack fyrir 2025.3.104432 sem getur leitt til leka á aðkennislyklum (e. global Junie token) [10].

Avast / AVG Antivirus

Veikleikinn CVE-2025-13032 með CVSSv3 9.9 finnst í Avast/AVG Antivirus fyrir Windows og getur leitt til aukinna réttinda [11].

Tilvísanir

[1] https://me.sap.com/notes/3666261
[2] https://me.sap.com/notes/3668705
[3] https://url.sap/sapsecuritypatchday
[4] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60724
[5] https://www.wordfence.com/threat-intel/vulnerabilities/id/7f7968c4-589c-4949-9f69-4a0ba4db4ea9?source=cve
[6] https://github.com/The-Network-Crew/TNC-Toolbox-for-WordPress/commit/31bb3040b22c84e2d6dfd3210fe0ad045ff4ddf6
[7] https://wordpress.org/plugins/easycommerce/
[8] https://wordpress.org/plugins/cpi-wp-migration/
[9] https://www.wordfence.com
[10] https://www.jetbrains.com/privacy-security/issues-fixed/
[11] https://www.gendigital.com/us/en/contact-us/security-advisories/

Facebook Twitter Linkedin Google-plus-g Pinterest Envelope

Um okkur

Fréttir og útgefið efni

Leiðbeiningar

  • Sími:
  • Netfang:
  • Heimilisfang:
  • PGP:
  • PGP fingrafar:
  • BF14 84D3 1D39 9C9F 2C70 9054 3938 E161 13E9 308B

Persónuverndarstefna

Scroll to Top

Um okkur

Fréttir og útgefið efni

Leiðbeiningar í atvikum