Kritische Sicherheitslücke in Calibre E-Book-Manager: CVE-2026-25635 erlaubt RCE
⚠️ CVE-Referenzen:
CVE-2026-25635
Zusammenfassung
Die Calibre E-Book-Software enthält bis zur Version 9.2.0 eine schwerwiegende Sicherheitslücke (CVE-2026-25635) mit hohem Risiko (8.6). Angreifer können durch Ausnutzen einer Pfadtraversal-Schwachstelle im CHM-Reader beliebige Dateien auf dem System schreiben und so Schadcode in den Windows-Autostart-Ordner einschleusen, was zur Ausführung von Remotecode führt. Der Fehler wurde in Version 9.2.0 behoben, Anwender sollten dringend auf diese oder eine neuere Version aktualisieren.
calibre is an e-book manager. Prior to 9.2.0, Calibre's CHM reader contains a path traversal vulnerability that allows arbitrary file writes anywhere the user has write permissions. On Windows (haven't tested on other OS's), this can lead to Remote Code Execution by writing a payload to the Startup folder, which executes on next login. This vulnerability is fixed in 9.2.0.
Quelle: app.opencve.io