Angreifer können an drei Sicherheitslücken in Versa Concerto ansetzen und Systeme vollständig kompromittieren. Bislang sind keine Sicherheitspatches erschienen.
Über die Orchestrierungsplattform Versa Concerto verwalten Admins unter anderem Services mit Versa Operating System (VOS). Setzen Angreifer erfolgreich an den Lücken an, können sie etwa eigenen Code ausführen und so die volle Kontrolle über Systeme erlangen.
Sicherheitsforscher von ProjectDiscovery haben die Schwachstellen entdeckt. Ihre Erkenntnisse haben sie in einem Beitrag zusammengetragen. Sie geben an, die Entwickler erstmals im Februar dieses Jahres bezüglich der Sicherheitsprobleme kontaktiert zu haben. Ende März wurden Sicherheitsupdates für April zugesichert. Die sind den Forschern zufolge aber bis zum heutigen Tag nicht erschienen. Wann sie erscheinen, ist bislang unklar. Die Antwort auf eine Anfrage von heise Security steht noch aus.
Setzen Angreifer erfolgreich an den Lücken an, können sie die Authentifizierung umgehen, sich höhere Nutzerrechte verschaffen und Schadcode ausführen. Die Sicherheitsforscher zufolge ist eine Kombination der Schwachstellen möglich, um die Anwendung und das zugrundeliegende Hostsystem vollständig zu kompromittieren. Zwei Lücken gelten als "kritisch" (CVE-2025-34026, CVE-2025-34027). Letztere ist sogar mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Für die dritte Schwachstelle (CVE-2025-34025) gilt der Bedrohungsgrad "hoch".
In ihrem Bericht beschreiben sie die Sicherheitslücken ausführlich. Dort geben sie auch Hinweise, wie Admins ihre Systeme bis zum Erscheinen der Updates temporär vor den geschilderten Attacken schützen können. Dafür müssen sie unter anderem eine Regel zum Blockieren von bestimmten Headern erstellen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare