M-Files schließt kritische Sicherheitslücke in Unternehmenssoftware

Eine schwerwiegende Schwachstelle in der Dokumentenmanagement-Software M-Files könnte Angreifern Zugriff auf sensible Unternehmensdaten verschaffen. Das Unternehmen drängt Nutzer zur sofortigen Installation von Sicherheitsupdates.

Die Sicherheitslücke mit der Kennung CVE-2025-13008 ermöglicht es authentifizierten Angreifern, aktive Benutzersitzungen zu übernehmen. Damit könnten sie unbemerkt auf vertrauliche Dokumente zugreifen und diese manipulieren. Die Schwachstelle betrifft die Web-Oberfläche der Software und wird mit der hohen CVSS-Bewertung 8,6 eingestuft.

Wie die Sitzungsübernahme funktioniert

Das Kernproblem liegt im unzureichenden Schutz von Sitzungstokens. Ein Angreifer, der bereits über einen – wenn auch niedrig privilegierten – Zugang zum System verfügt, kann die Tokens anderer aktiver Nutzer abfangen. Dies geschieht durch spezifische Client-Operationen, während das Opfer die Plattform nutzt.

Besonders tückisch: Der Angriff umgeht gängige Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA). Der Angreifer benötigt weder Passwörter noch muss er die Zwei-Faktor-Absicherung überwinden. Mit einem gestohlenen Token kann er sich dann vollständig als das Opfer ausgeben und erbt dessen Berechtigungen.

Passend zum Thema IT‑Sicherheit: Viele Unternehmen sind auf Sitzungsübernahmen wie CVE‑2025‑13008 nicht vorbereitet. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt aktuelle Bedrohungen einschließlich Session‑Hijacking, liefert praxisnahe Sofortmaßnahmen für Administratoren und Checklisten zur Priorisierung von Patches und Monitoring. Ideal für Geschäftsführer und IT‑Verantwortliche, die Risiken schnell und ohne großen Aufwand senken wollen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

„Das ist wie der Diebstahl eines Schlüsselbunds, während jemand ihn benutzt“, erklärt ein Sicherheitsexperte. „Der Angreifer handelt dann mit allen Rechten des legitim eingeloggten Nutzers – ohne dass Alarm ausgelöst wird.“

Betroffene Versionen und notwendige Updates

Die Sicherheitslücke betrifft mehrere Versionen des M-Files Servers. Das Unternehmen hat dringende Patches veröffentlicht und rät zu folgenden Updates:

• Aktuelle Version: Auf 25.12.15491.7 oder höher aktualisieren
• LTS 25.8: Auf Service Release 3 (25.8.15085.18) aktualisieren
• LTS 25.2: Auf Service Release 3 (25.2.14524.14) aktualisieren
• LTS 24.8: Auf Service Release 5 (24.8.13981.17) aktualisieren

Besonders betroffen sind Unternehmen mit On-Premises- oder selbst gehosteten Cloud-Installationen. Hier müssen Administratoren die Updates manuell einspielen. Kunden der M-Files Cloud erhalten die Patches in der Regel automatisch, sollten aber dennoch ihre Version überprüfen.

Sofortmaßnahmen für betroffene Unternehmen

Die Installation des Patches ist die einzige zuverlässige Lösung. Parallel dazu empfehlen Sicherheitsexperten verstärkte Überwachungsmaßnahmen. Da der Angriff legitime Zugangsdaten nutzt, ist bösartige Aktivität schwer von normalem Nutzerverhalten zu unterscheiden.

Das Centre for Cybersecurity Belgium (CCB) und andere nationale CERTs raten zur Überprüfung der Zugriffsprotokolle auf folgende Auffälligkeiten:

• Parallele Sitzungen: Mehrere aktive Sitzungen eines Nutzers von unterschiedlichen IP-Adressen oder Standorten
• Ungewöhnliche Zugriffe: Abweichungen vom normalen Arbeitsmuster, etwa Zugriffe auf sensible Dateien außerhalb der Geschäftszeiten

Die Angriffskomplexität wird als „niedrig“ eingestuft, allerdings benötigen Angreifer eine aktive Sitzung des Opfers. Dies schafft ein spezifisches, aber gefährliches Zeitfenster für Attacken.

Warum diese Lücke besonders besorgniserregend ist

Die Entdeckung von CVE-2025-13008 spiegelt einen Trend wider, der sich 2025 verstärkt hat: Angreifer konzentrieren sich zunehmend auf die Identitäts- und Sitzungsebene, statt auf traditionellen Passwortdiebstahl. Da MFA immer verbreiteter ist, wird Sitzungsübernahme zum bevorzugten Werkzeug für die seitliche Bewegung in gesicherten Netzwerken.

Besonders kritisch ist die Schwachstelle für Branchen mit hohen Compliance-Anforderungen. In Rechtskanzleien, Finanzinstituten und produzierenden Unternehmen wird M-Files intensiv für Dokumentenmanagement genutzt. Die Möglichkeit, sich unbemerkt als autorisierter Nutzer auszugeben, gefährdet nicht nur die Datensicherheit, sondern auch regulatorische Auflagen.

„Diese Schwachstelle unterstreicht, wie wichtig interne Sicherheitsmaßnahmen sind“, betont ein Branchenanalyst. „Da der Angriff einen authentifizierten Nutzer voraussetzt, fällt er in die Kategorie der Insider-Bedrohungen – ob durch böswillige Mitarbeiter oder kompromittierte Konten.“

Ausblick und Empfehlungen

Bislang sind keine aktiven Angriffe mit dieser Schwachstelle bekannt. Doch die detaillierte Veröffentlichung der technischen Details könnte die Entwicklung von Exploit-Tools beschleunigen. Sicherheitsteams sollten daher wachsam bleiben.

M-Files plant für Anfang 2026 weitere Härtungsmaßnahmen in der Web-Architektur. Bis dahin gilt die aktuelle Patch-Installation als oberste Priorität. Unternehmen, die noch nicht aktualisiert haben, sollten dies vor Jahresende als kritische Aufgabe behandeln, um die Sicherheitslücke zu schließen.

PS: Diese Meldung zeigt, wie dringend präventive Maßnahmen sind. Fordern Sie den Gratis‑Report an, der Schritt‑für‑Schritt erklärt, wie Sie Patches priorisieren, Überwachungsregeln einrichten und Incident‑Response‑Checklisten für Rechtskanzleien, Finanzinstitute und Produktionsbetriebe implementieren. Mit konkreten Vorlagen für Log‑Prüfung, Erkennungsregeln und Sofortmaßnahmen – ohne teure Zusatztools. Gratis Cyber-Security-Report anfordern