SEC4YOU hat im Rah­men eines Pene­tra­ti­ons­tests drei kri­ti­sche Schwach­stel­len in Sage DPW ent­deckt, einer weit ver­brei­te­ten HR-Soft­ware. Die Lücken wur­den gemäß den Vor­ga­ben der MITRE Cor­po­ra­ti­on als CVE-Ein­trä­ge registriert.

HR-Soft­ware ist das Herz­stück vie­ler Unter­neh­men – sie ver­ar­bei­tet hoch­sen­si­ble Per­so­nal­da­ten und muss des­halb beson­ders zuver­läs­sig geschützt sein. Das Unter­neh­men Sage ist seit über 50 Jah­ren am öster­rei­chi­schen Markt aktiv und hat sich zu einem füh­ren­den Anbie­ter für HR-Soft­ware im Land ent­wi­ckelt. Bei einem durch SEC4YOU durch­ge­führ­ten Pene­tra­ti­ons­test im Auf­trag eines Kun­den ent­deck­ten unse­re Exper­ten drei gra­vie­ren­de Schwach­stel­len in der der weit ver­brei­te­ten Lösung Sage DPW. Die Lücken wur­den gemäß den Vor­ga­ben der MITRE Cor­po­ra­ti­on als offi­zi­el­le CVEs regis­triert und öffent­lich gemacht, damit Betrei­ber schnell reagie­ren können.

Die ent­deck­ten Schwachstellen

Die ers­te Schwach­stel­le, CVE-2025–51532, erlaub­te es, ohne jede Anmel­dung direkt auf den Daten­bank-Moni­tor von Sage DPW zuzu­grei­fen. Mit weni­gen Klicks konn­ten Live-Abfra­gen, Tabel­len­na­men und Index­sta­tis­ti­ken ein­ge­se­hen wer­den – ein gefun­de­nes Fres­sen für jeden Angrei­fer, der sich auf geziel­te Fol­ge­at­ta­cken vor­be­rei­ten will.

Bei der zwei­ten Lücke, CVE-2025–51533, reich­te schlich­tes Durch­pro­bie­ren von URL-Mus­tern wie „A‑0001.htm“ bis „A‑9999.htm“, um auf inter­ne For­mu­la­re und Such­funk­tio­nen zu sto­ßen, die eigent­lich nur für ange­mel­de­te Nut­zer bestimmt sind. In man­chen Fäl­len reich­te der blo­ße Auf­ruf die­ser Sei­ten, um Funk­tio­nen mit erhöh­ten Berech­ti­gun­gen auszuführen.

Schließ­lich gab es, regis­triert unter CVE-2025–51531, noch ein XSS-Pro­blem im Ver­wal­tungs­mo­dul: Über den Para­me­ter „tab­fields“ ließ sich schäd­li­ches Java­Script ein­schleu­sen, das beim Öff­nen eines mani­pu­lier­ten Links im Brow­ser eines Admi­nis­tra­tors aus­ge­führt wur­de. Ses­si­on-Hijack­ing, Iden­ti­täts­dieb­stahl oder Phis­hing-Angrif­fe wären so nur einen Klick ent­fernt gewesen.

Sage hat auf die­se Fun­de reagiert und ein Update auf Ver­si­on 2025_06_000 bereitgestellt.

Lob und Kri­tik am Pro­zess bei Sage

Wir möch­ten beto­nen, dass Sage zu Beginn offen für einen tech­ni­schen Aus­tausch war und sich am Pro­zess der koor­di­nier­ten Offen­le­gung betei­ligt hat. Doch der Weg zur Behe­bung ver­lief nicht rei­bungs­los. In meh­re­ren Punk­ten wich der Ablauf von inter­na­tio­na­len Stan­dards wie ISO/IEC 29147:2018 ab.

So wur­de unter ande­rem die Iden­ti­tät unse­res Kun­den zur Bedin­gung für den Zugang zu Patches gemacht – ein kla­rer Ver­stoß gegen gän­gi­ge Ver­trau­lich­keits­prin­zi­pi­en. Infor­ma­tio­nen zu den beho­be­nen Ver­sio­nen waren teils wider­sprüch­lich, ein­sei­ti­ge Retests ver­zö­ger­ten die Vali­die­rung, und der mel­den­de Sicher­heits­exper­te wur­de nicht pro­ak­tiv infor­miert, als ein Fix ver­öf­fent­licht wur­de. Auch in den offi­zi­el­len Ver­si­ons­hin­wei­sen fehl­ten kla­re Anga­ben zu den Sicherheitsänderungen.

Die­se Stol­per­stei­ne führ­ten zu Ver­zö­ge­run­gen und nah­men dem Pro­zess ein Stück der Trans­pa­renz, die für eine effek­ti­ve Sicher­heits­ar­beit so wich­tig ist. Wir von SEC4YOU hof­fen, dass Her­stel­ler künf­tig stär­ker auf inter­na­tio­na­le Best Prac­ti­ces set­zen, um Schwach­stel­len nicht nur schnell, son­dern auch nach­voll­zieh­bar zu beheben.

Was Sie als betrof­fe­nes Unter­neh­men jetzt tun sollten

Für Betrei­ber von Sage DPW gibt es nur eine sinn­vol­le Maß­nah­me: sofort auf die neu­es­te Ver­si­on aktua­li­sie­ren und die Wirk­sam­keit des Patches sorg­fäl­tig prü­fen. HR-Daten sind für Cyber­kri­mi­nel­le ein hoch­at­trak­ti­ves Ziel, und jede Lücke, die unge­nutzt bleibt, ist ein Einfallstor.

Die­ser Fall zeigt, wie wert­voll unab­hän­gi­ge Sicher­heits­prü­fun­gen sind – und dass eine gute Zusam­men­ar­beit zwi­schen Infor­ma­ti­ons­si­cher­heits­exper­ten und Her­stel­lern ent­schei­dend ist. SEC4YOU stellt nicht nur Schwach­stel­len fest, son­dern sorgt mit der Ver­öf­fent­li­chung von CVEs auch dafür, dass Risi­ken trans­pa­rent wer­den und Unter­neh­men recht­zei­tig reagie­ren können.

Ver­lin­kun­gen:

https://www.sagedpw.at/

https://www.cve.org/CVERecord?id=CVE-2025–51531  Seve­ri­ty Medium

https://www.cve.org/CVERecord?id=CVE-2025–51532  Seve­ri­ty High

https://www.cve.org/CVERecord?id=CVE-2025–51533  Seve­ri­ty Medium

Die tech­ni­sche Detail­be­schrei­bung zu den doku­men­tier­ten Schwach­stel­len ist auf der Pen­test-Web­sei­te von SEC4YOU abruf­bar: https://www.sec4you-pentest.com/schwachstellen/