Tech Blog

Eine kritische SQL-Injection-Schwachstelle wurde in der Datei "/admin/manage_register.php" des itsourcecode Event Management Systems 1.0 entdeckt. Der Angriff kann aus der Ferne ausgeführt werden, da die Manipulation des "ID"-Arguments zu SQL-Injection führt. Der Exploit ist bereits öffentlich bekannt und kann daher missbraucht werden. Administratoren sollten das System schnellstmöglich aktualisieren, um Schäden zu verhindern.

In der SECCN Dingcheng G10 Version 3.1.0.181203 wurde eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-2686 entdeckt. Diese ermöglicht Angreifern das Ausführen von Betriebssystemkommandos durch Manipulation des "User"-Parameters in der Datei "/cgi-bin/session_login.cgi". Der Exploit ist öffentlich bekannt und kann aus der Ferne ausgenutzt werden. Betroffene Administratoren sollten dringend ein Sicherheitsupdate einspielen, um ihre Systeme vor Kompromittierung zu schützen.

Eine Schwachstelle im PDFium-Modul von Google Chrome ermöglichte es Angreifern, durch präparierte PDF-Dateien unkontrollierten Speicherzugriff zu erlangen. Die Lücke wurde als "hoch" eingestuft und betraf Chrome-Versionen vor 145.0.7632.109. Betroffene Nutzer sollten umgehend auf die aktuelle Chrome-Version aktualisieren, um sich vor dieser kritischen Sicherheitslücke zu schützen.

Eine kritische Schwachstelle im V8-JavaScript-Engine von Google Chrome erlaubte es Angreifern, durch manipulierte HTML-Seiten möglicherweise Heap-Korruption auszunutzen. Die Lücke wurde als "Hoch" eingestuft und betrifft Versionen vor 145.0.7632.109. Betroffene Nutzer sollten Chrome schnellstmöglich auf die aktuelle Version aktualisieren, um sich vor möglichen Angriffen zu schützen.

IBM DataStage auf Cloud Pak for Data 5.1.2 bis 5.3.0 gibt sensible Informationen in einer HTTP-Antwort preis, die zur Identitätsübernahme anderer Nutzer missbraucht werden können. Die Schwachstelle mit der CVE-ID CVE-2025-13691 wurde als "Hoch" eingestuft. Betroffene Nutzer sollten umgehend auf eine aktualisierte Version aktualisieren, um sich vor möglichen Angriffen zu schützen.

Eine kritische Sicherheitslücke in der NLTK-Downloader-Komponente erlaubt Angreifern, durch manipulierte ZIP-Pakete beliebigen Code auszuführen. Die fehlende Pfadvalidierung bei der Entpackung ermöglicht es, Python-Dateien wie __init__.py einzuschleusen, die dann automatisch ausgeführt werden. Das kann zur vollständigen Systemübernahme führen. Bis ein Patch vorliegt, sollten Nutzer vorsichtig sein, was sie über den NLTK-Downloader herunterladen.

Dell Unisphere for PowerMax 10.2 enthält eine Schwachstelle, die es einem Angreifer mit geringen Rechten ermöglicht, beliebige Dateien zu löschen. Das ist nicht gerade ein Kavaliersdelikt. Admins sollten schnell auf eine aktualisierte Version umstellen, sofern ein Patch verfügbar ist. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-26360, CVE-2026-26359).

Eine schwerwiegende Schwachstelle in der Firmware des UTT HiPER 810 Routers ermöglicht es Angreifern, per Fernzugriff die volle Kontrolle über das Gerät zu erlangen. Das Problem liegt in voreingestellten, unsicheren Zugangsdaten für den Telnet-Dienst. Betroffene Administratoren sollten dringend ein Firmware-Update einspielen, um diese kritische Sicherheitslücke zu schließen.

Das CodeAstro Mitgliederverwaltungssystem 1.0 enthält eine kritische Sicherheitslücke in der delete_members.php-Datei, die es unauthentifizierten Angreifern ermöglicht, beliebige Mitgliederdatensätze über den id-Parameter zu löschen. Admins sollten dringend ein Update auf eine Version mit Patch durchführen, um ihre Mitgliederdaten vor unbefugtem Zugriff zu schützen.

In Version 1.0 des "ProjectWorlds Online Time Table Generator" erlaubt eine fehlende Authentifizierung in administrativen Skripten unter "/admin/" Remote-Angreifern, unbefugt administrative Operationen wie das Hinzufügen oder Löschen von Datensätzen durchzuführen. Betroffen sind direkte HTTP-Anfragen an die entsprechenden Endpunkte ohne gültige Sitzung.