Tech Blog

Ein nicht authentifizierter Remote-Angreifer kann eine manipulierte HTTP-Anfrage mit einem überlangen SESSIONID-Cookie senden. Dies kann einen Stapelspeicher-Überlauf im modifizierten Lighttpd-Server auslösen, was zu einem Absturz und potenzieller Remote-Code-Ausführung führen kann, da Schutzmaßnahmen fehlen.

Eine kritische Sicherheitslücke in der Keylime-Registrierung erlaubt unauthentifizierten Clients, administrative Operationen durchzuführen, wie das Auflisten von Agents, Abrufen von TPM-Daten und Löschen von Agents. Das Problem besteht seit Version 7.12.0, da die TLS-Authentifizierung auf Clientseite nicht erzwungen wird. Administratoren müssen dringend auf eine gepatcht Version aktualisieren, um diese Schwachstelle zu schließen.

Eine kritische SQL-Injection-Lücke mit der CVE-ID CVE-2025-6830 wurde in der Xpoda Studio-Software von Xpoda Türkiye Information Technology Inc. entdeckt. Die Schwachstelle ermöglicht es Angreifern, beliebige SQL-Befehle auszuführen. Der Hersteller wurde zwar frühzeitig über den Fehler informiert, hat aber nicht darauf reagiert. Administratoren sollten dringend ein Update auf eine nicht betroffene Version installieren, bis ein Patch verfügbar ist.

Eine kritische DOM-basierte Cross-Site-Scripting-Schwachstelle (CVE-2026-25847) wurde in JetBrains PyCharm vor Version 2025.3.2 entdeckt. Angreifer konnten diese Lücke ausnutzen, um beliebigen Code auf der Jupyter Viewer-Seite auszuführen. Admins sollten PyCharm umgehend auf die aktuelle Version aktualisieren, um sich vor dieser Sicherheitslücke zu schützen.

Eine schwerwiegende Schwachstelle im WordPress-Plugin "WP Duplicate" ermöglicht Angreifern mit Nutzerrechten das Hochladen beliebiger Dateien und damit die Ausführung von Schadcode. Das Plugin weist einen fehlenden Capability-Check in der AJAX-Aktion "process_add_site()" sowie Pfad-Traversal-Probleme beim Datei-Upload auf. Administratoren sollten das Plugin umgehend auf die aktuellste Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

In der Version 1.3.8 des Ether MP3 CD Brenners gibt es eine kritische Puffer-Überlauf-Schwachstelle im Registrierungsfeld. Angreifer können damit eine schädliche Payload einspeisen und so eine Remotecode-Ausführung erreichen. Der Exploit startet einen Bindeshell auf Port 3110. Das Update auf die Version 1.3.9 schließt diese Sicherheitslücke mit der Kritikalität 9.8.

Eine kritische Sicherheitslücke in der Sensaway-Plattform von Birtech ermöglicht das Hochladen von Web-Shells auf den Server. Angreifer können damit die volle Kontrolle über das System erlangen. Der Hersteller hat trotz Kontaktaufnahme nicht auf die Offenlegung der Schwachstelle reagiert. Administratoren sollten umgehend prüfen, ob ihre Sensaway-Instanzen betroffen sind und geeignete Gegenmaßnahmen ergreifen.

In der E-Book-Management-Software Calibre bis Version 9.1.0 existiert eine Schwachstelle, die es ermöglicht, über manipulierte EPUB-Dateien beliebige, vom Calibre-Prozess beschreibbare Dateien zu beschädigen. Der Fehler betrifft die Auflösung von CipherReference-URIs aus der Datei "META-INF/encryption.xml" zu absoluten Dateisystempfaden, die außerhalb des Konvertierungsverzeichnisses liegen. Das Problem wurde in Version 9.2.0 behoben.

Die Calibre E-Book-Software enthält bis zur Version 9.2.0 eine schwerwiegende Sicherheitslücke (CVE-2026-25635) mit hohem Risiko (8.6). Angreifer können durch Ausnutzen einer Pfadtraversal-Schwachstelle im CHM-Reader beliebige Dateien auf dem System schreiben und so Schadcode in den Windows-Autostart-Ordner einschleusen, was zur Ausführung von Remotecode führt. Der Fehler wurde in Version 9.2.0 behoben, Anwender sollten dringend auf diese oder eine neuere Version aktualisieren.

Eine kritische Sicherheitslücke in der Microsoft Semantic Kernel .NET SDK ermöglicht Angreifern das willkürliche Schreiben von Dateien. Das Problem betrifft die SessionsPythonPlugin-Komponente und wurde in Version 1.70.0 behoben. Admins können eine Filterung der Argumente für DownloadFileAsync- und UploadFileAsync-Aufrufe implementieren, um das Risiko zu mindern.