Tech Blog

In der E-Commerce-Software osCommerce 2.3.4.1 wurde eine kritische SQL-Injektions-Schwachstelle entdeckt. Unbefugte Angreifer können über den Parameter "reviews_id" in der Datei "product_reviews_write.php" böswilligen SQL-Code injizieren und so sensible Datenbankinhalte auslesen. Betreiber sollten umgehend auf eine neuere, gepatche Version von osCommerce wechseln, um diese Sicherheitslücke zu schließen.

Forscher entdeckten eine kritische Sicherheitslücke im WordPress Plugin "Wholesale Lead Capture", die es unauthentifizierten Angreifern ermöglicht, ihre Rechte auf dem System auszuweiten. Betroffen sind Versionen bis 1.17.8. Ein Patch ist noch nicht verfügbar, Nutzer sollten das Plugin deaktivieren oder auf eine neuere, gepatchtete Version aktualisieren. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-12821, CVE-2026-22384, CVE-2026-22369, CVE-2025-14799, CVE-2025-14339, CVE-2025-13113, CVE-2026-22363, CVE-2026-1943, CVE-2026-1044, CVE-2025-12356, CVE-2026-2386, CVE-2026-2419, CVE-2026-1461, CVE-2026-22376, CVE-2025-14444, CVE-2025-8781, CVE-2026-1640, CVE-2026-2385, CVE-2026-1714, CVE-2026-1941, CVE-2026-25372, CVE-2025-11706, CVE-2025-12037, CVE-2026-27542, CVE-2025-12448, CVE-2026-1043, CVE-2026-22366, CVE-2026-2126, CVE-2025-12027, CVE-2025-13413, CVE-2026-1277, CVE-2025-13438, CVE-2025-13959, CVE-2026-22372, CVE-2026-25375, CVE-2026-2296, CVE-2026-2001, CVE-2025-13864, CVE-2026-25374, CVE-2026-1655, CVE-2025-14427, CVE-2026-2716, CVE-2026-25385, CVE-2025-14983, CVE-2026-2284, CVE-2026-22380, CVE-2025-12172, CVE-2026-22373, CVE-2026-1649, CVE-2026-23549, CVE-2026-1317, CVE-2025-68541, CVE-2026-2002, CVE-2025-12081, CVE-2026-1304, CVE-2026-2426, CVE-2025-11754, CVE-2025-13727, CVE-2026-2495, CVE-2026-1657, CVE-2025-13617, CVE-2026-3075, CVE-2025-4521, CVE-2025-15041, CVE-2026-2282, CVE-2026-2633, CVE-2025-14452, CVE-2026-25386, CVE-2025-12062, CVE-2026-22377, CVE-2026-1994, CVE-2026-2718, CVE-2025-13732, CVE-2026-1216, CVE-2025-13563, CVE-2026-2502, CVE-2026-1656, CVE-2026-2232, CVE-2026-2019, CVE-2026-2486, CVE-2025-12500, CVE-2026-22370, CVE-2026-1582, CVE-2026-22362, CVE-2025-13738, CVE-2025-14294, CVE-2026-1639, CVE-2026-1368, CVE-2025-68002, CVE-2025-12845, CVE-2026-1937, CVE-2025-11185, CVE-2026-0912, CVE-2025-13048, CVE-2026-2230, CVE-2025-69337, CVE-2026-1455, CVE-2026-23544, CVE-2026-1581, CVE-2026-1404, CVE-2025-14342, CVE-2026-0926, CVE-2026-1405, CVE-2026-22354, CVE-2026-0561, CVE-2026-1938, CVE-2026-1296, CVE-2026-22383, CVE-2025-12975, CVE-2025-12451, CVE-2026-0929, CVE-2026-1942, CVE-2026-2384, CVE-2026-25367, CVE-2026-0974, CVE-2026-1666, CVE-2026-2504, CVE-2026-1072, CVE-2026-1646, CVE-2026-0829, CVE-2026-2592, CVE-2026-22361, CVE-2026-2576, CVE-2025-13091, CVE-2026-23541, CVE-2025-14076, CVE-2026-1906, CVE-2025-13603, CVE-2025-14445, CVE-2025-12075, CVE-2026-2112, CVE-2026-22374, CVE-2025-14270, CVE-2026-22378, CVE-2026-27541, CVE-2026-25389, CVE-2025-11725, CVE-2026-1831, CVE-2026-22364, CVE-2026-2023, CVE-2026-1055, CVE-2026-1860, CVE-2026-1925, CVE-2026-25370, CVE-2026-0549, CVE-2025-12707, CVE-2025-6460, CVE-2025-12074, CVE-2025-12117, CVE-2025-14167, CVE-2025-13930, CVE-2026-25368, CVE-2026-1857, CVE-2026-27540, CVE-2026-22375, CVE-2025-12071, CVE-2026-2281, CVE-2026-1047, CVE-2026-1219, CVE-2025-13587, CVE-2026-23542, CVE-2025-14357, CVE-2026-25387, CVE-2025-12375, CVE-2025-12116, CVE-2026-1426, CVE-2025-13079, CVE-2025-12884, CVE-2026-2127, CVE-2026-23545, CVE-2025-13851, CVE-2025-11737, CVE-2026-25378, CVE-2026-0556, CVE-2026-22356, CVE-2025-12122, CVE-2026-22357, CVE-2026-22365, CVE-2026-22381, CVE-2026-22379, CVE-2026-0722, CVE-2026-22368, CVE-2025-13842, CVE-2025-14864, CVE-2026-1807, CVE-2025-14851, CVE-2026-25384, CVE-2025-12882, CVE-2025-68549, CVE-2026-22367, CVE-2026-25388, CVE-2026-1373, CVE-2026-1931, CVE-2026-22371, CVE-2025-13612, CVE-2026-1779).

Das Apache Superset-Projekt musste fünf Sicherheitslücken schließen, die teilweise kritisch waren. Darunter eine SQL-Injection-Schwachstelle, die die Umgehung der Zeilenebenen-Sicherheit erlaubte. Zum Glück haben die Entwickler jetzt die Kurve gekriegt und den Sicherheits-Flickenteppich etwas aufgeräumt. Hoffentlich bleibt es jetzt erstmal eine Weile ruhig.

Forscher entdeckten eine schwerwiegende Sicherheitslücke (CVE-2026-23478, CVSS 10) im Parse Server, die es Angreifern ermöglicht, Google-Konten komplett zu übernehmen. Die Schwachstelle basiert auf einer Verwechslung kryptografischer Algorithmen und lässt sich durch einen einzelnen API-Aufruf ausnutzen. Betroffene Unternehmen sollten umgehend den Patch des Herstellers einspielen, um ihre Google-Konten vor Kompromittierung zu schützen.

Sicherheitsforscher haben eine kritische Sicherheitslücke mit einer Bewertung von 9,2 in der ServiceNow AI-Plattform entdeckt. Die Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung beliebigen Code auszuführen. Das kann zu einer vollständigen Übernahme des Systems führen. Anwender sollten umgehend ein Software-Update einspielen, sobald ServiceNow einen Patch bereitstellt.

Langflow, ein Tool zur Erstellung und Verwaltung von KI-gesteuerten Agenten und Workflows, weist vor Version 1.8.0 eine schwerwiegende Sicherheitslücke auf. Eine fehlerhafte Konfiguration im CSV-Agent-Knoten ermöglicht Angreifern die Ausführung beliebiger Python- und Betriebssystemkommandos auf dem Server, was zu einer kritischen Fernsteuerung (RCE) führt. Nutzer werden dringend empfohlen, auf Version 1.8.0 oder höher zu aktualisieren, um dieses Risiko zu bannen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-27966, CVE-2026-27966).

Vor Version 1.37.1 des Open-Source-Projekts OpenLIT für KI-Engineering enthielten dessen GitHub-Workflows eine kritische Sicherheitslücke. Durch Missbrauch des `pull_request_target`-Events konnten Angreifer aus Forks Remote-Code-Ausführung und den Zugriff auf sensible Geheimnisse wie API-Schlüssel erlangen. Die Entwickler haben das Problem in Version 1.37.1 behoben.

Eine kritische Sicherheitslücke mit CVSS-Bewertung 10.0 in Cisco ISE ermöglicht Angreifern unberechtigten Remotezugriff mit Administratorrechten. Die Schwachstelle wurde bereits seit über 3 Jahren ausgenutzt, bevor sie entdeckt und geschlossen wurde. Administratoren müssen das betroffene Cisco-Produkt umgehend auf den neuesten Stand bringen, um Systeme vor Kompromittierung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2022-20775, CVE-2022-20818, CVE-2025-20337, CVE-2026-20045, CVE-2026-20127, CVE-2026-22769, CVE-2026-20010, CVE-2026-20033, CVE-2026-20048, CVE-2026-20051, CVE-2026-20107, CVE-2026-20122, CVE-2026-20126, CVE-2026-20128, CVE-2026-20129, CVE-2026-20133).

Eine kritische SQL-Injection-Schwachstelle wurde in der 'ormar' Python-Bibliothek entdeckt. Angreifer können diese Lücke ausnutzen, um beliebigen SQL-Code auf dem Server auszuführen und so die Kontrolle über das System zu erlangen. Die Entwickler haben bereits einen Patch veröffentlicht, der das Problem behebt. Sysadmins sollten dringend ein Update auf die aktuellste Version vornehmen, um ihre Systeme vor dieser Sicherheitslücke zu schützen.

Eine kritische Sicherheitslücke in Monica 4.1.2 ermöglicht es Angreifern, den Host-Header zu manipulieren und so die Passwort-Rücksetzung-Links in E-Mails zu vergiften. Das erlaubt Remote-Attacken auf Nutzer-Konten. Admins sollten dringend auf die neueste Version von Monica aktualisieren, um diese Schwachstelle zu schließen.