Tech Blog

Eine schwerwiegende Schwachstelle in der JavaScript-Bibliothek Swiper ermöglicht Angreifern, die Prototypen-Vererbung zu manipulieren und so die Kontrolle über betroffene Anwendungen zu erlangen. Mit einer CVSS-Bewertung von 9.4 stellt diese Lücke eine ernsthafte Bedrohung für zahlreiche Apps weltweit dar. Entwickler werden dringend aufgefordert, umgehend Patches zu installieren, um ihre Systeme vor Kompromittierung zu schützen.

Forscher haben eine erstmalige Schwachstelle im Trusted Platform Module (TPM) entdeckt, die es Angreifern ermöglicht, Verschlüsselungsschlüssel industrieller Linux-Systeme auszulesen. Die Schwachstelle betrifft die weit verbreitete Festplattenverschlüsselung LUKS und kann von Unbefugten ausgenutzt werden, um kritische Daten zu stehlen.

Eine Sicherheitslücke in ImageMagick ermöglichte lokale Dateileseaktionen, auch wenn die Sicherheitsrichtlinien aktiviert waren. Betroffen sind Versionen vor 7.1.2-15 und 6.9.13-40. Die Schwachstelle wurde behoben, zusätzlich wurden die Standardrichtlinien angepasst, um auch Schreibzugriffe zu unterbinden.

Eine kritische Sicherheitslücke in der Komponentenkomponente "Cloud Task Scheduler" des HummerRisk-Systems ermöglicht Befehlsinjektionen. Angreifer können die Schwachstelle in Versionen bis 1.5.0 remote ausnutzen, um beliebigen Code auszuführen. Der Hersteller reagierte bislang nicht auf die Offenlegung des Exploits.

In der Audio/Video-Download-Software yt-dlp besteht ab Version 2023.06.21 bis 2026.02.21 eine kritische Sicherheitslücke, die Angreifern das Ausführen beliebiger Befehle auf dem System ermöglicht. Das Problem betrifft speziell die Verwendung der `--netrc-cmd`-Option. Obwohl der Exploit-Link verdächtig erscheint, kann er über HTTP-Umleitungen getarnt werden. Nutzer, die diese Option nicht verwenden, sind nicht betroffen. yt-dlp 2026.02.21 behebt den Fehler durch Validierung der "machine"-Werte. Bis zum Update sollten Nutzer die problematische Option vermeiden.

Eine kritische Sicherheitslücke mit CVSS-Bewertung 8.8 wurde in der Firmware des Tenda CH22 Routers entdeckt. Ein Angreifer kann durch Manipulation des Arguments "delno" einen Puffer-Überlauf auslösen und somit die Kontrolle über das Gerät erlangen. Die Schwachstelle ist öffentlich bekannt und kann leicht ausgenutzt werden. Betreiber sollten dringend ein Firmware-Update einspielen, um ihre Systeme vor Kompromittierung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-12236, CVE-2025-12265, CVE-2025-12272, CVE-2025-12273, CVE-2025-13258, CVE-2025-13288, CVE-2025-12322).

Eine kritische Sicherheitslücke im "Advanced Library Management System 1.0" ermöglicht Angreifern die Ausführung von SQL-Injection-Attacken. Die Schwachstelle betrifft eine unbekannte Funktion in der Datei "borrowed_book_search.php" und kann remote ausgenutzt werden. Ein öffentlicher Exploit ist bereits bekannt, daher ist schnelles Handeln erforderlich.

Eine kritische Sicherheitslücke in der Serv-U Software ermöglicht es Angreifern mit administrativen Rechten, beliebigen Code als privilegierter Nutzer auszuführen. Die Schwachstelle vom Typ "Insecure Direct Object Reference" (IDOR) kann somit zur Übernahme des Systems missbraucht werden. Obwohl das Risiko auf Windows-Systemen als mittel eingestuft wird, sollte der Patch schnell eingespielt werden, um Angriffe zu verhindern.

Eine kritische Sicherheitslücke in Airflow 2 ermöglicht es DAG-Autoren mit weitreichenden Berechtigungen, durch Manipulation der Datenbank beliebigen Code auf dem Web-Server auszuführen. Dies kann zu Remote-Code-Execution führen, wenn Nutzer historische Aufgabeninformationen einsehen. Der Hersteller hat die verantwortliche Funktion in Version 2.11.1 standardmäßig deaktiviert. Nutzer sollten auf Airflow 3 upgraden oder manuell die Verlaufsdateien anpassen, um weiterhin historische Logs einsehen zu können.

Eine kritische Sicherheitslücke in der Firmware des TOTOLink X5000R-Routers ermöglicht es Angreifern, mit Administratorrechten beliebige Befehle auszuführen. Die Schwachstelle betrifft die Verarbeitung bestimmter Parameter durch den Webserver-Prozess. Betroffene Router sollten umgehend aktualisiert werden, sobald ein Patch verfügbar ist.