Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

HCL: Sicherheitslücken in BigFix, DevOps und mehr Produkten

353 Aufrufe

Zum Stopfen von Sicherheitslücken in HCL BigFix, DevOps, Traveler und Connections stellt HCL Software nun Updates bereit. Die Lücken gelten teils als kritisch. IT-Verantwortliche sollten die Updates zügig anwenden.

Am schwersten hat es HCL BigFix WebUI, also die Management-Oberfläche für BigFix, getroffen. Mehrere Schwachstellen sind in den darin verwendeten Open-Source-Komponenten, davon ist eine in canvg 4.0.2 als kritisch eingestuft (CVE-2025-25977, CVSS 9.8) sowie zwei in xml-crypto (CVE-2025-29774, CVE-2025-29775, beide CVSS 9.3).

Auch in BigFix Server Automation ist ein Open-Source-Modul für das Aufreißen einer Sicherheitslücke verantwortlich, hier liegt es an axios, einem HTTP-Client für den Browser und node.js. Eine potenzielle Server-Side-Request-Forgery (SSRF) darin gefährdet die Sicherheit des Systems (CVE-2025-27152, CVSS 7.7, Risiko "hoch").

Die weiteren Schwachstellen haben etwas niedrigere Risiko-Einstufungen erhalten, stellen dennoch ein potenzielles Einfallstor für bösartige Akteure dar. Die Sicherheitsmitteilungen von HCL sollten Admins daher darauf prüfen, ob sie die verwundbare Software einsetzen und im Anschluss die verfügbaren Aktualisierungen herunterladen und installieren.

Die Schwachstellen absteigend nach Schweregrad sortiert:

HCL BigFix WebUI is affected by multiple open source vulnerabilities, mehrere CVEs, max. CVSS 9.8, Risiko "kritisch"HCL BigFix Server Automation (SA) affected by an open source security vulnerability, CVE-2025-27152, CVSS 7.7, Risiko "hoch"HCL DevOps Deploy / HCL Launch is susceptible to unauthorized access to other services, CVE-2025-0257, CVSS 6.3, Risiko "mittel"HCL DevOps Deploy / HCL Launch is susceptible to an HTML injection vulnerability, CVE-2025-0272, CVSS 5.4, Risiko "mittel"HCL Traveler is affected by generation of error messages containing sensitive information, CVE-2025-0279, CVSS 4.3, Risiko "mittel"An internal path disclosure vulnerability affects HCL Traveler, CVE-2025-0278, CVSS 4.3, Risiko "mittel"HCL Connections Security Update for Information Disclosure Vulnerability, CVE-2024-42208, CVSS 3.5, Risiko "mittel"

Im Februar musste HCL einen Patch für HCL BigFix Server Automation ausbessern und neu verteilen. Der erste Versuch der Absicherung war fehlerhaft.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Heise)
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

OpenSSL 3.5.0 enthält nun Post-Quanten-Verfahren
ToddyCat: Malware nutzt Sicherheitsleck in Antivir...

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Freitag, 31. Oktober 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung