CVE-2025-20059: Relative Path Traversal-Schwachstelle im Ping Identity PingAM Java Policy Agent

Unmittelbar nach der jüngsten Offenlegung von CVE-2025-0108 Ausbeutung die Palo Alto Networks PAN-OS-Produkte betreffen, tritt eine weitere kritische Schwachstelle ans Licht. Verteidiger identifizierten eine neue kritische relative Pfad-Traversal-Schwachstelle im Ping Identity PingAM Java Policy Agent, CVE-2025-20059, die Angreifern grünes Licht gibt, bösartige Parameter zu injizieren und die Infektion weiter zu verbreiten.

Die Anzahl der registrierten CVEs stieg 2024 um 30 % an und erreichte bis Ende des Jahres über 30.000 neue Schwachstellen. Da ein großer Teil dieser Mängel für Angriffe unter freiem Himmel genutzt wurde, bleibt die proaktive Erkennung der Ausbeutung von Schwachstellen eine der obersten Prioritäten für Cyber-Verteidiger weltweit. 

Die SOC Prime-Plattform für kollektive Cyberverteidigung bietet eine breite Palette von Erkennungsinhalten, die potenzielle Schwachstellentausbeutung adressieren. Registrieren Sie sich auf der Plattform um Zugriff auf den globalen Feed aktiver Bedrohungen, Echtzeit-CTI und maßgeschneiderte Erkennungsinhalte zu erhalten, um Angreifern immer einen Schritt voraus zu sein. Überprüfen Sie unsere Regelbibliothek, gefiltert mit dem Tag „CVE“, indem Sie den Erkundungserkennungen -Button drücken, damit Sie keine Bedrohung verpassen, die möglicherweise Ihr Unternehmen herausfordert, da täglich Erkennungen hinzugefügt werden.

Erkundungserkennungen

Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Lösungen kompatibel und an das MITRE ATT&CK®-Framework angepasst, um die Bedrohungsuntersuchung zu optimieren. Darüber hinaus wird jede Regel mit detaillierten Metadaten angereichert, einschließlich Bedrohungsintelligenz Referenzen, Angriffschroniken, Triagempfehlungen und mehr. 

CVE-2025-20059 Analyse

Das NIST NVD beleuchtete kürzlich eine neue relative Pfad-Traversal-Schwachstelle im Ping Identity PingAM Java Policy Agent, die als CVE-2025-20059 verfolgt wird, was zunehmende Risiken für Softwareversionen bis zu 5.10.3, 2023.11.1 und 2024.9 birgt. Der kritische Fehler mit einem hohen CVSS-Wert von 9.2 kann auch ältere, nicht unterstützte Versionen betreffen, daher ist es äußerst wichtig, Installationen sofort zu sichern.

Angreifer könnten dieses Sicherheitsproblem für Dateipfadmanipulation, Parameterinjektion und Datenexfiltration ausnutzen. Infolge einer erfolgreichen Ausnutzung könnte es zu einer Störung der Systemfunktionen kommen. Auch wenn derzeit kein öffentliches PoC verfügbar ist oder gemeldete Fälle von CVE-2025-20059-Ausbeutung in freier Wildbahn vorliegen, machen die remote Zugänglichkeit und der Mangel an Benutzerinteraktion den Fehler besonders gefährlich und leicht ausnutzbar. 

Als potenzielle CVE-Minderungsmaßnahmen sollten Organisationen auf die neueste Softwareversion aktualisieren. Insbesondere sind Korrekturen verfügbar, indem über die Versionen 5.10.3, 2023.11.1 und 2024.9 hinaus aktualisiert wird. Als potenzieller Workaround, der nur für die Produktversion 2024.9 anwendbar ist, empfiehlt der Anbieter auch die spezifische Eigenschaft zur AgentBootstrap.properties -Datei hinzuzufügen, die alle URL-Pfade mit einem Semikolon blockiert und HTTP 400 zurückgibt. Dies gilt jedoch nicht für Abfrageparameter. Darüber hinaus empfehlen Verteidiger zur Minimierung der Ausnutzungsrisiken strenge Eingabevalidierung durchzusetzen, Netzwerksegmentierung umzusetzen, ständig verdächtige Datei-Zugriffe oder Parameterinjektionsversuche zu überwachen und eine gründliche Sicherheitsüberprüfung durchzuführen. 

Das vollständige Produktpaket von SOC Prime für Unternehmenssicherheit bietet Cyber-Verteidigern alles, was sie benötigen, um intelligente Datenorchestrierung zu ermöglichen, ein vollständiges CI/CD für fortschrittliche Bedrohungserkennung und KI-gestützte Erkennungstechnik zu übernehmen, fähigkeitengestützte Bedrohungsjagd zu liefern und ihre Cyber-Sicherheitsposition risikoorientiert zu optimieren. Genauer gesagt, Attack Detective bietet Organisationen den Zugriff auf Echtzeit-, recherchierte und verpackte Bedrohungserkennungs- und Jagdfähigkeit, um Organisationen vor hochkomplexen Ausbeutungsversuchen von Schwachstellen zu schützen, die möglicherweise am schwierigsten zu identifizieren sind. Es bietet Daten- und Inhaltsprüfungen für umfassende Bedrohungserkennung und verbesserte Erkennungsabdeckung, stattet Sicherheitsteams mit geräuscharmen und hochwertigen Regeln für die Alarmierung aus und ermöglicht automatisierte Bedrohungsjagd.