GE Vernova hat am 06. November 2025 zwei Produkt-Sicherheitshinweise veröffentlicht.
Konkret handelt es sich um CVE-2025-7719 (Smallworld SWMFS Beliebige Dateioperationen) und CVE-2025-3222 (Smallworld SWMFS – Unsachgemäße Authentifizierung).
Die konkrete Beurteilung der Gefährdung ist maßgeblich von vielen individuellen Faktoren abhängig, die von Installation zu Installation bzw. von Kunde zu Kunde unterschiedlich ausfallen können. Wesentlich zur Beurteilung beitragen kann eine Bewertung nach dem Standard CVSS (Common Vulnerability Scoring System). Wir unterstützen Sie gerne bei der Ermittlung Ihrer individuellen Gefährdung und empfehlen dafür das Online-Formular ‚Common Vulnerability Scoring System Version 4.0 Calculator‚.
Als wesentliche Handlungsempfehlungen im Zuge der oben angeführten GE Produkt-Sicherheitshinweise empfehlen wir:
- die Nutzung eines lokalen Users mit stark eingeschränkten Rechten für die Ausführung des Smallworld Masterfile-Servers (`swmfs`)
- die Nutzung des Smallworld Masterfile-Servers in der Version 5.3.6 oder höher, sofern dies in Ihrer Umgebung möglich ist
- die Beachtung des Smallworld ‚Secure Deployment Guide‘ (Richtlinien zur sicheren Bereitstellung) und aller dort angeführten Folgedokumente
- die Bewertung der Gefährdung Ihrer Umgebung nach CVSS (siehe oben).
Sofern Sie vollständig auf die Smallworld-Version 5.3.6 umgestellt haben, eine der beiden von GE empfohlenen externen Authentifizierungsverfahren einsetzen und bei Betrieb und Installation den GE ‚Richtlinien zur sicheren Bereitstellung‘ folgen, können Sie die oben angeführten Produkt-Sicherheitshinweise ignorieren.
Für Fragen steht Ihnen unser Support-Team oder Ihr spezifischer Projektleiter zu unseren üblichen Geschäftszeiten gerne zur Verfügung.