De Amerikaanse CISA voegt drie nieuwe kwetsbaarheden toe aan zijn Known Exploited Vulnerabilities Catalog. Het gaat om een lek in Edimax IC-71000 IP-camera's (CVE-2025-1316), kwetsbaarheid in NAKIVO Backup and Replication (CVE-2024-48248) en een beveiligingsprobleem met SAP NetWeaver (CVE-2017-12637). CISA waarschuwt dat de kwetsbaarheden actief worden uitgebuit.

CVE-2025-1316 is een beveiligingsprobleem dat het mogelijk maakt commando's te injecteren in de Edimax IC-7100 IP-camera's. Dit product is uitgefaseerd en wordt niet meer geüpdatet. Edimax meldde eerder geen update uit te brengen om het lek te dichten; het bedrijf beschikt niet meer over de broncode en ontwikkelomgeving, waardoor het geen patch kan ontwikkelen. Het beveiligingsprobleem is in maart ontdekt en is onder meer gebruikt om de camera's op te nemen in Mirai-botnets. De ernst wordt ingeschat als kritiek.

Back-ups en inloggegevens stelen

CVE-2024-48248 is een recent ontdekte kwetsbaarheid in de back-upsoftware van het bedrijf Nakivo. Het lek geeft ongeautoriseerde aanvallers de mogelijkheid op afstand back-ups te maken en inloggegevens te stelen. De kwetsbaarheid is in versie 11.0.0.88174 door Nakivo via een patch gedicht. De ernst van dit lek is ingeschaald op hoog.

CVE-2017-12637 is een ouder lek in SAP NetWeaver; het lek is medio 2017 ontdekt. Het gaat om een zogeheten directory traversal-kwetsbaarheid, waarmee aanvallers bestanden kunnen uitlezen met een geprepareerde query-string. De ernst van het lek is ingeschaald op hoog. Het lek treft SAP NetWeaver Application Server Java versie 7.50.