Tech Blog

Aufgrund einer Schwachstelle in der Velocity Template Engine können Administratoren böswilligen Code auf dem Server ausführen. Dies kann zu Fernsteuerung, Datenzugriff oder -manipulation führen. Ein Patch ist verfügbar, Nutzer sollten das System zeitnah aktualisieren.

Eine kritische Sicherheitslücke in der Molecule-Laderfunktion von Boltz 2.0.0 erlaubt Angreifern mit Zugriff auf das System die Ausführung von beliebigem Schadcode. Die Anwendung verwendet Python Pickle zum Deserialisieren von Moleküldaten ohne jegliche Validierung. Nutzer sollten dringend ein Update auf eine Nicht-Vulnerable Version installieren, bis ein Patch verfügbar ist.

Eine kritische Sicherheitslücke in der PDF-Bibliothek jsPDF ermöglicht es Angreifern, bis Version 4.2.0 beliebigen Schadcode in PDF-Dokumenten einzubinden. Durch unsanitierte Nutzereingaben können Angreifer schädliche PDF-Objekte wie JavaScript-Aktionen einschleusen, die beim Überfahren von Radio-Optionen ausgeführt werden. Ein Patch ist in Version 4.2.0 verfügbar, Anwender sollten umgehend updaten oder Nutzereingaben vor der Übergabe an die betroffenen API-Funktionen sorgfältig überprüfen.

SPIP vor Version 4.4.9 ist von einer Sicherheitslücke betroffen, die es Angreifern ermöglicht, über manipulierte serialisierte Daten in den öffentlichen Bereichen beliebige Objekte zu instanziieren und potenziell Schadcode auszuführen. Die Verwendung serialisierter Daten in den betroffenen Komponenten wurde als veraltet eingestuft und wird in SPIP 5 entfernt. Die Lücke wird vom SPIP-Sicherheitsschutz nicht abgefangen.

In MCMS 4.6.5 wurde eine kritische CSRF-Lücke entdeckt, mit der Angreifer über die Weboberfläche ms/basic/manager/save.do neue Administratorkonten erstellen können. Betreiber sollten das System schnellstmöglich auf eine neuere, gepatcht Version aktualisieren, um sich vor diesem Sicherheitsrisiko zu schützen.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-26339 erlaubt es Angreifern ohne Authentifizierung, die Ausführung von Schadcode auf betroffenen Systemen zu erreichen. Die Schwachstelle betrifft die Dokumentenverarbeitungsfunktionalität des Hyland Alfresco Transformation Service. Anwender sollten umgehend auf einen Patch warten oder geeignete Gegenmaßnahmen ergreifen, um sich vor dieser Bedrohung zu schützen.

Ach, schon wieder eine dieser Sicherheitslücken, die es eigentlich nicht geben dürfte. Diesmal betrifft es den Hyland Alfresco Transformation Service, der es unauthentifizierten Angreifern ermöglicht, sowohl willkürliches Lesen von Dateien als auch Server-seitige Request-Weiterleitung durchzuführen. Wie immer heißt es also: Patch aufspielen, Kaffee trinken und hoffen, dass die Entwickler in Zukunft etwas mehr Sorgfalt an den Tag legen.

Sicherheitsforscher haben eine kritische Sicherheitslücke in der Grandstream GXP1600-Serie von VoIP-Telefonen entdeckt. Mit der CVE-2026-2329-Schwachstelle, die einen CVSS-Score von 9,3 aufweist, können Angreifer die Kontrolle über anfällige Geräte übernehmen. Die Lücke resultiert aus einem unautorisierten Stack-Overflow, der Remote Code Execution ermöglicht. Bis ein Patch vorliegt, empfehle ich dringend, die betroffenen Geräte vom Netz zu nehmen.

Forscher entdeckten schwerwiegende Sicherheitslücken in vier weit verbreiteten VS Code Extensions, die Entwickler anfällig für Datenverlust, Remote-Code-Ausführung und Netzwerk-Reconnaissance machen. Die Schwachstellen (CVE-2025-65717, CVE-2025-65715, CVE-2025-65716) betrafen Extensions mit insgesamt 128 Millionen Downloads. Entwickler sollten Extensions, die sie nicht aktiv nutzen, deaktivieren und Konfigurationsänderungen von unverifizierten Quellen vermeiden. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-65717, CVE-2025-65715, CVE-2025-65716, CVE-2025-59887, CVE-2026-0762).

Das WordPress-Plugin "YayMail – WooCommerce Email Customizer" weist eine kritische Sicherheitslücke auf, die es Nutzern mit Shop-Manager-Rechten ermöglicht, beliebige Einstellungen auf der Website zu ändern. Dadurch können Angreifer sogar Administratorrechte erlangen und die vollständige Kontrolle über die Seite übernehmen. Die Schwachstelle betrifft alle Versionen bis einschließlich 4.3.2 und sollte umgehend behoben werden.