Tech Blog

Die Node.js-Bibliothek systeminformation wies bis zur Version 5.31.0 eine Sicherheitslücke auf, die Angreifern Befehlsausführung ermöglichte. Die Schwachstelle betraf die `versions()`-Funktion, bei der die Ausgabe des `locate`-Befehls nicht ordnungsgemäß bereinigt wurde. Nutzer sollten dringend auf Version 5.31.0 oder höher aktualisieren, um diese kritische Sicherheitslücke zu schließen.

Eine Sicherheitslücke mit der Bewertung 8.1 High wurde in Dell PowerProtect Data Manager vor Version 19.22 entdeckt. Angreifer mit geringen Rechten können diese Schwachstelle ausnutzen, um ihre Berechtigungen zu erhöhen. Ein Patch ist erforderlich, um das System vor Kompromittierung zu schützen.

Eine kritische SQL-Injection-Schwachstelle in der Version 25.12.0 und älter des PHP/MySQL-basierten Netzwerk-Monitoring-Tools LibreNMS ermöglicht Angreifern den Zugriff auf und die Manipulation von Datenbankinhalten. Die Lücke betrifft die ajax_table.php-Schnittstelle und entsteht durch mangelhafte Eingabevalidierung von IPv6-Adressen. Zum Glück wurde das Problem in Version 26.2.0 behoben, also Zeit für ein Update, bevor hier wieder irgendwelche Scriptkiddies Schindluder treiben.

Sicherheitsforscher entdeckten eine kritische Sicherheitslücke (CVE-2026-1560) im WordPress-Plugin "Lazy Blocks", die es Angreifern ermöglicht, willkürlichen Code auszuführen. Betroffen sind alle Versionen bis 4.2.0. Nutzer sollten das Plugin umgehend auf die aktuelle Version updaten. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-1901, CVE-2025-69328, CVE-2025-14895, CVE-2026-1254, CVE-2025-68534, CVE-2025-15157, CVE-2025-68501, CVE-2025-15524, CVE-2025-69399, CVE-2026-1844, CVE-2025-69063, CVE-2025-68543, CVE-2025-14541, CVE-2026-1903, CVE-2025-69407, CVE-2025-69394, CVE-2026-24956, CVE-2026-1258, CVE-2026-1729, CVE-2026-22346, CVE-2025-15147, CVE-2025-69383, CVE-2025-14067, CVE-2026-1793, CVE-2026-0745, CVE-2026-1795, CVE-2026-24955, CVE-2025-69385, CVE-2026-1490, CVE-2026-1885, CVE-2025-67991, CVE-2026-1826, CVE-2026-1821, CVE-2025-69388, CVE-2026-2022, CVE-2025-67996, CVE-2025-13973, CVE-2026-1320, CVE-2025-69379, CVE-2026-1671, CVE-2025-14873, CVE-2025-69380, CVE-2026-1394, CVE-2025-67997, CVE-2025-69398, CVE-2026-2608, CVE-2025-68552, CVE-2026-1987, CVE-2026-0751, CVE-2025-67994, CVE-2026-0692, CVE-2026-0557, CVE-2025-69386, CVE-2026-1843, CVE-2025-14608, CVE-2026-2144, CVE-2026-1316, CVE-2026-2027, CVE-2026-1249, CVE-2026-1912, CVE-2026-1786, CVE-2025-13681, CVE-2025-67998, CVE-2026-2268, CVE-2026-0753, CVE-2026-1932, CVE-2025-8572, CVE-2025-69410, CVE-2026-1939, CVE-2026-22352, CVE-2026-1944, CVE-2026-0736, CVE-2026-1215, CVE-2026-0550, CVE-2025-69393, CVE-2025-69329, CVE-2026-1833, CVE-2025-69389, CVE-2025-69400, CVE-2026-1804, CVE-2026-2024, CVE-2025-69401, CVE-2025-69384, CVE-2025-69408, CVE-2025-67992, CVE-2025-69392, CVE-2025-15400, CVE-2026-1905, CVE-2025-69402, CVE-2025-67993, CVE-2026-0693, CVE-2026-22350, CVE-2025-69330, CVE-2019-25314, CVE-2026-1853, CVE-2026-0815, CVE-2026-25036, CVE-2026-24953, CVE-2026-22351, CVE-2026-1988, CVE-2025-69325, CVE-2025-13391, CVE-2026-1537, CVE-2026-0727, CVE-2026-0559, CVE-2026-1187, CVE-2026-0724, CVE-2025-69382, CVE-2026-1722, CVE-2026-22343, CVE-2026-2295, CVE-2025-15483, CVE-2026-1809, CVE-2025-69404, CVE-2026-1792, CVE-2026-0910, CVE-2026-1750, CVE-2026-1827, CVE-2026-1303, CVE-2026-1985, CVE-2026-1915, CVE-2026-22344, CVE-2025-69387, CVE-2025-69396, CVE-2025-14852, CVE-2025-69390, CVE-2026-0996, CVE-2026-1904, CVE-2025-69403, CVE-2025-69326, CVE-2025-15440, CVE-2025-68495, CVE-2026-1922, CVE-2026-1796, CVE-2026-1357, CVE-2026-1356, CVE-2025-69381, CVE-2026-0845, CVE-2025-68514, CVE-2025-69391, CVE-2026-24959, CVE-2026-1104, CVE-2026-1841, CVE-2025-69397, CVE-2025-68539, CVE-2025-15096, CVE-2026-1910, CVE-2025-69406, CVE-2026-1560, CVE-2026-1754, CVE-2026-2312, CVE-2025-68526, CVE-2025-69409, CVE-2026-0735, CVE-2026-1231, CVE-2026-1164, CVE-2026-1983, CVE-2025-69395, CVE-2025-68545, CVE-2025-13431, CVE-2026-22345, CVE-2025-67995, CVE-2025-68536, CVE-2026-1893, CVE-2025-69405, CVE-2026-1866, CVE-2026-1306, CVE-2025-6792, CVE-2026-1512, CVE-2026-1748, CVE-2025-13851, CVE-2026-0926, CVE-2025-12821, CVE-2025-1305).

Sicherheitsforscher haben eine kritische Deserialisierungs-Schwachstelle in SPIP-Versionen vor 4.4.9 entdeckt. Angreifer können durch Eingabe manipulierter, serialisierter Daten beliebigen Code ausführen. Die Lücke betrifft die table_valeur-Funktion und den DATA-Iterator, die unsicher mit serialisierten Nutzereingaben umgehen. Obwohl SPIP-Entwickler das Problem erkannt haben, scheinen die bisherigen Sicherheitsmaßnahmen nicht auszureichen. Admins sollten dringend auf SPIP 4.4.9 oder höher updaten.

Microsoft hat eine kritische Sicherheitslücke in Windows Admin Center behoben, die Angreifern eine Rechteausweitung ermöglicht hätte. Das browserbasierte Verwaltungstool für Windows-Systeme ist lokal installiert und bietet Administratoren Zugriff auf Clients, Server und Cluster. Die Schwachstelle, bekannt als CVE-2026-26119, wurde von Microsoft als hochgefährlich eingestuft. Admins sollten das Update umgehend einspielen, um ihre Systeme vor missbräuchlicher Ausnutzung zu schützen.

In WSO2 API Manager existiert eine kritische Sicherheitslücke, die es Angreifern mit Administratorrechten ermöglicht, beliebige Dateien auf dem System hochzuladen. Dies kann zu einer Remote-Code-Execution-Schwachstelle führen, sollte ein manipulierter Payload hochgeladen werden. Sofortige Aufmerksamkeit und Gegenmaßnahmen sind dringend erforderlich, um Ausnutzung dieser Schwachstelle zu verhindern.

Der WMV-zu-AVI-MPEG-DVD-Konverter 4.6.1217 von Allok Soft ist anfällig für eine Puffer-Überlauf-Schwachstelle aufgrund unzureichender Eingabevalidierung. Durch Erstellen einer böswilligen Nutzereingabe von bis zu 6000 Byte können Angreifer kritische Speicherbereiche wie Lizenzname und -schlüssel überschreiben. Dies ermöglicht die Ausführung beliebigen Codes, beispielsweise das Öffnen eines Backdoor-Shells auf Port 4444, was die Systemsicherheit kompromittiert.

Der MailCarrier 2.51 von Tabs Laboratories Corporation weist eine kritische Puffer-Überlauf-Schwachstelle im POP3-Befehl "USER" auf, die von Angreifern aus der Ferne ausgenutzt werden kann. Durch Senden eines speziell präparierten Puffers an den POP3-Dienst können Angreifer den Speicher überschreiben und potenziell beliebigen Code ausführen. Das Beheben dieser Sicherheitslücke ist dringend erforderlich, da sie den Zugriff auf das System ermöglichen kann.

In der Rechnungssoftware InvoicePlane 1.7.0 wurde eine schwerwiegende Sicherheitslücke gefunden, die es Administratoren ermöglicht, beliebigen Code auf dem Server auszuführen. Das Problem entsteht durch eine Kombination aus Local File Inclusion und Log Poisoning. Angreifer können die `public_invoice_template`-Einstellung manipulieren, um kompromittierte Logdateien mit bösartigem PHP-Code einzubinden. Zum Glück wurde die Schwachstelle in Version 1.7.1 behoben. Nutzer sollten dringend auf den aktuellen Stand updaten, um die Sicherheit ihrer Anwendung wiederherzustellen.