:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/4d/0d4d91ec072fc1e3307b33167628609c/0129729063v2.jpeg "Hybride Angriffe sind koordinierte Angriffe, die digitale Mittel wie Cyberattacken mit physischen Sabotageakten und Desinformation kombinieren, um Infrastruktur, Wirtschaft und Gesellschaft zu destabilisieren. Diese Art von Bedrohung nimmt derzeit durch geopolitische Spannungen zu. (Bild: © Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/2e/822ec28ed333bb880befbd80837cc7c5/0130147661v2.jpeg "DDoS-Angriffe dauerten 2025 bis zu acht Tage ohne Unterbrechung. An 88 Prozent der Tage standen Unternehmen unter Beschuss. (Bild: © Bartek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/c9/aec971a40c470574c343894c1a13f9ad/0130094121v2.jpeg "KI-gestützte Voice-Angriffe kombinieren Caller-ID-Spoofing mit Voice Cloning. Neue Technologien wie FOICE erzeugen täuschend echte Stimmen sogar aus Fotos. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b5/1e/b51e19c1ede5e1521c9b640260ae762b/0129942862v2.jpeg "Trotz Statusleuchten kann die Predator-Spyware Apple-Geräte durch das gezielte Unterdrücken von Aufzeichnungsanzeigen unbemerkt über Kamera und Mikrofon ausspionieren. (©issaronow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/97/3d9766294184f807990612e7f58bf2b3/0130059255v2.jpeg "KI-gestützte Entwicklungstools versprechen Produktivitätsgewinne, doch Prompt-Injection-Angriffe und autonome Spionagekampagnen zeigen die wachsenden Risiken für Unternehmen. (Bild: © Arnab Dey - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/64/2e64f1786868756aae4026dd78f920c7/0130120004v1.jpeg "Credentialed Scans mit Nessus und OpenVAS prüfen Kerberos-Kryptografie, LDAP-Transport und SMB-Härtung auf Active Directory Domänencontrollern systematisch. (Bild: © Stefan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/e6/19e6685a939640d25cb308569ca76b01/0129966653v1.jpeg "Das QKD-Labor der TÜV NORD GROUP am Standort Essen ist eines der ersten seiner Art in Europa. Sven Bettendorf, Projektleiter des QKD-Labors, und Natalie Jung, Evaluatorin mit Schwerpunkt QKD, bereiten einen Versuchsaufbau vor. (Bild: TÜVIT)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/cf/4fcffe96d0f8532cf9672e943e5a7f2d/0130150503v2.jpeg "Node.js-Projekte sind durch kritische Schwachstellen gefährdet, die zu Denial-of-Service-Angriffen führen können. Dies bedeutet, dass Angreifer die Verfügbarkeit der Systeme beeinträchtigen und die Leistung durch gezielte Ressourcennutzung überlasten können. Davon ist auch die Lösung IBM App Connect Enterprise betroffen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/fd/6afdae64b3156714ffcc6afd73d977c4/0130023020v2.jpeg "NIST-Standards FIPS 206 und FIPS 207 bringen quantensichere Signaturen und Schlüsselaustausch bis 2027 in Trusted Execution Environments und Confidential Computing. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/4d/ea4d21f1d52198fafa870bf3eaf8a9ba/0130189262v2.jpeg "Das Ziel des Wiper-Angriffs, der mutmaßlichen durch die iranische Hackergruppe „Handala“ ausgeübt wurde, war ein Vergeltungsschlag für einen Raketenangriff auf eine iranische Schule. Die Hacker löschten mehr als 200.000 Systeme von Stryker. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitslücken in SAP Netweaver und Communication Framework Gefahr durch Cross-Site-Scripting in SAP-Produkten
Das Schweizer Unternehmen für IT-Sicherheitsprüfungen Compass Security hat bekanntgegeben, dass SAP einige Sicherheitslücken im Internet Communication Framework und im SAP Web Dynpro Java geschlossen hat. Für registrierte Anwender stehen entsprechende Patches bereit.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/65/60/65609cf9d5d06/aagon-logo.png "aagon-logo (Aagon)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/69/9d/699da109d631b/onapsis-logo-full-color-rgb-150dpi.png "onapsis-logo-full-color-rgb-150dpi (Onapsis)"){kind=logo}
Die Schwachstelle im Internet Communication Framework betrifft die Fehlerseite, die nach einem gescheiterten Anmeldeversuch ausgegeben wird. Trotz der Fehlermeldung bleiben dabei Benutzereingaben einiger Felder erhalten. Dies kann von Angreifern für eine Cross-Site-Scripting-Attacke (XSS) missbraucht werden. Betroffen sind SAP Basis component 640 SP19 und frühere sowie SAP Basis component 700 SP11 und frühere. Über die SAP Note Nr. 1022102 sind entsprechende Patches erhältlich.
Die zweite Lücke befindet sich in der Netweaver-Anwendung SAP Web Dynpro Java. Läuft das Tool im Test- oder Entwicklungsmodus können Inhalte des User-Agent-Headers mit Hilfe von Javascript oder Flash ebenfalls für eine XSS-Angriff verwendet werden. Der Fehler tritt in den Versionen Nw04 SP15 bis SP 19 und Nw04s SP7 bis SP 11 von SAP Netweaver auf. Patches für Web Dynpro Java sind über die SAP Note Nr. 1045640 und 946608 erhältlich.
Artikelfiles und Artikellinks
(ID:2005769)
:quality(80)/p7i.vogel.de/wcms/b7/ef/b7ef4b3f0551ebde26973a1a5f6f89a0/0129567276v2.jpeg "Beide Schwachstellen – EUVD-2026-6392 / CVE-2026-0488 und EUVD-2026-6472 / CVE-2026-0509 – ermöglichen Cyberkriminellen die Ausführung von Remote Code beziehungsweise von Remote Function Calls, da die Autorisierung in S/4HANA und NetWeaver ABAP fehlerhaft ist. (Bild: Thapana_Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/25/e925c5c3434bfceb3d0ef1f0b44829ba/0127331278v2.jpeg "In SAP Netweaver, dem Print Service und Supplier Relationship Management muss SAP kritische Sicherheitslücken stopfen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")