Sicherheitslücke in der Sparkassen-Banking-Software SFirm

Bei der Analyse der Finanzsoftware SFirm 4 (Patch 25.08 Build 8427) wurde eine Schwachstelle identifiziert, die dazu führen kann, dass MSSQL-Zugangsdaten unverschlüsselt übertragen werden. Die Ursache ist ein fehlender Zwang von verschlüsselter Kommunikation. Unterstützt die Gegenseite keine Verschlüsselung, fällt der Client auf eine Klartextverbindung zurück.

Ein Angreifer kann durch Manipulation der DNS-Auflösung (z. B. DNS-Spoofing) den Client auf einen eigenen MSSQL-Server umleiten. Dieser verweigert die Verschlüsselung, woraufhin der SFirm-Client die Datenbank-Credentials im Klartext sendet.

Die Kombination aus fehlender Anforderung zur Verschlüsselung und einfacher Manipulation auf Netzwerkkommunikationsebene führt zu einem hohen Risiko für die Kompromittierung der Datenbankzugänge.

Die Schwachstelle wurde durch den Hersteller mit dem Patch-Release 4/25.10 behoben. Ein Update wird dringend empfohlen.

Weitere Informationen finden sich auf der Herstellerseite.

Detaillierte Informationen zu diesen gefundenen Schwachstellen finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

• SYSS-2025-055 (CVE-2025-66981)

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.