Tech Blog

Eine kritische Sicherheitslücke in der PHP-basierten Helpdesk-Software FreeScout ermöglicht Authentifizierten Angreifern das Hochladen und Ausführen beliebiger Skripte. Dies ist möglich, da vor Version 1.8.206 keine Beschränkungen für den Upload von .htaccess- oder .user.ini-Dateien galten. Ein Patch ist verfügbar.

OliveTin, eine Web-Oberfläche für vordefinierte Shell-Befehle, weist zwei kritische Sicherheitslücken auf. Zum einen können Nutzer mit Passwort-Eingaben beliebige Betriebssystem-Befehle ausführen. Zum anderen können unauthentifizierte Angreifer über Webhook-Funktionalität ebenfalls Remote-Code-Execution erreichen. Eine Behebung ist zum Zeitpunkt der Veröffentlichung noch nicht verfügbar.

Eine kritische Sicherheitslücke im Tenda F453-Router ermöglicht Angreifern via Fernzugriff einen Pufferüberlauf auszunutzen. Das öffentlich verfügbare Exploit kann ausgenutzt werden, um die volle Kontrolle über das Gerät zu erlangen. Admins sollten dringend ein Firmware-Update einspielen, sobald es verfügbar ist.

Eine Pfad-Traversal-Lücke in der Version 9.4.7.3 und älter des Lanscope Endpoint Manager (On-Premises) Sub-Manager Servers ermöglicht Angreifern das Manipulieren beliebiger Dateien und die Ausführung von Schadcode auf dem betroffenen System. Administratoren sollten umgehend auf die neueste Version aktualisieren, um diese kritische Sicherheitslücke zu schließen.

Forscher haben eine schwerwiegende Sicherheitslücke (CVE-2025-65001) im Fujitsu fbiosdrv.sys-Treiber vor Version 2.5.0.0 entdeckt. Die Schwachstelle könnte es Angreifern ermöglichen, die Vertraulichkeit, Integrität und Verfügbarkeit des Systems zu beeinträchtigen. Administratoren sollten dringend ein Sicherheitsupdate installieren, um ihre Systeme vor möglichen Angriffen zu schützen.

In älteren Versionen von changedetection.io, einer kostenlosen Open-Source-Web-Monitoring-Anwendung, besteht eine Server-Side Request Forgery (SSRF)-Lücke. Authentifizierte Nutzer können interne Netzwerk-URLs überwachen, was zur Exfiltration sensibler Daten führen kann. Der Patch in Version 0.54.1 behebt dieses kritische Sicherheitsproblem.

Das WordPress-Plugin "Advanced Woo Labels" ist in allen Versionen bis einschließlich 2.37 von einer kritischen Sicherheitslücke betroffen, die das Ausführen beliebigen Codes durch authentifizierte Angreifer mit Contributor-Rechten oder höher ermöglicht. Die Schwachstelle liegt in der unsicheren Verwendung von `call_user_func_array()` im AJAX-Handler `get_select_option_values()`. Anwender sollten das Plugin umgehend auf die neueste, sicherere Version aktualisieren.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-3164 wurde im itsourcecode News Portal Projekt 1.0 entdeckt. Durch Manipulation des Parameters "pagetitle" in der Datei "/admin/contactus.php" kann eine SQL-Injektion ausgeführt werden. Der Angriff kann aus der Ferne erfolgen, da der Exploit öffentlich bekannt ist. Admins sollten dringend ein Update auf eine nicht anfällige Version vornehmen, um die Systeme vor Kompromittierung zu schützen.

Eine Sicherheitslücke im GCOM EPON 1GE C00R371V00B01-Router ermöglicht es remote authentifizierten Angreifern, Administratoreinstellungen zu ändern und Administratorpasswörter abzugreifen. Die Schwachstelle erlaubt somit eine unberechtigte Rechteausweitung. Betroffene Nutzer sollten zeitnah ein Firmware-Update einspielen, sobald der Hersteller eine Lösung bereitstellt.

Eine schwerwiegende Sicherheitslücke mit der CVE-ID CVE-2026-2787 wurde in den DOM-Komponenten "Window" und "Location" von Firefox und Thunderbird entdeckt. Betroffen sind Firefox-Versionen unter 148, Firefox ESR unter 115.33 und 140.8 sowie Thunderbird-Versionen unter 148 und 140.8. Die Lücke ermöglicht Angreifern die Ausführung von beliebigem Code. Benutzer werden dringend empfohlen, ihre Browser und E-Mail-Clients auf die neuesten sicheren Versionen zu aktualisieren, sobald entsprechende Patches verfügbar sind. Insgesamt wurden 13 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-2787, CVE-2026-2789, CVE-2026-2765, CVE-2026-2766, CVE-2026-2767, CVE-2026-2770, CVE-2026-2774, CVE-2026-2776, CVE-2026-2797, CVE-2026-2796, CVE-2026-2795, CVE-2026-2782, CVE-2026-2780).