Tech Blog

Eine kritische Sicherheitslücke mit einem CVSS-Score von 8.8 wurde in der Firmware UTT 进取 520W 1.7.7-180627 entdeckt. Durch Manipulation eines bestimmten Arguments kann ein Puffer-Überlauf ausgelöst werden, der eine Fernsteuerung des Systems ermöglicht. Der Exploit ist bereits öffentlich bekannt, der Hersteller reagierte bisher nicht auf die Offenlegung. Sicherheitsadministratoren sollten dringend ein Firmware-Update einspielen, sobald es verfügbar ist.

Eine kritische Sicherheitslücke im Wedding Slideshow Studio 1.36 ermöglicht Angreifern durch eine Puffer-Überlauf-Schwachstelle im Registrierungsfeld die Ausführung von beliebigem Schadcode. Durch Einfügen eines 1608 Byte langen, schädlichen Payloads in das Registrierungsfeld können Angreifer die Kontrolle über das System übernehmen. Betroffene Nutzer sollten das Programm umgehend aktualisieren, um sich vor dieser Lücke mit der Schweregrad-Bewertung 9.8 zu schützen.

Eine kritische SQL-Injection-Schwachstelle in der Maildetail-Funktion des AMSS++ Mailmoduls (Version 4.31) ermöglicht Angreifern den Zugriff und die Manipulation von Datenbankinhalten. Durch die Manipulation des 'id'-Parameters in der maildetail.php-Skript können böswillige SQL-Abfragen eingeschleust werden. Administratoren sollten umgehend ein Update auf eine nicht betroffene Version durchführen.

Eine Sicherheitslücke in der Datei /admin/message/search.php des SourceCodester Online Class Record System 1.0 ermöglicht es Angreifern, durch Manipulation des Arguments "term" SQL-Injektionen auszuführen. Die Schwachstelle kann aus der Ferne ausgenutzt werden und wurde bereits öffentlich bekannt gemacht, sodass sie möglicherweise missbraucht wird. Administratoren sollten das System umgehend aktualisieren, sobald ein Patch verfügbar ist.

Die Open-Source-Git-Plattform Gogs ist von einer schwerwiegenden Sicherheitslücke betroffen, die Angreifern die Ausführung von Remotebefehlen ermöglicht. Durch mangelhafte Behebung einer vorherigen Schwachstelle können Dateien im .git-Verzeichnis manipuliert werden. Nutzer müssen dringend auf Version 0.13.4 oder neuer aktualisieren, um ihre Systeme vor Angriffen zu schützen.

Eine kritische SQL-Injection-Schwachstelle in Fortinet FortiClientEMS 7.4.4 ermöglicht es unauthentifizierten Angreifern, willkürlichen Code auszuführen. Das Problem resultiert aus mangelnder Filterung von Sonderzeichen in SQL-Befehlen. Administratoren sollten dieses Sicherheitsrisiko dringend prüfen und beheben, um ihre Systeme vor Missbrauch zu schützen.

Das WordPress-Plugin "WP Duplicate" weist eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, beliebige Dateien auf dem Server hochzuladen und so potentiell die Kontrolle über das System zu erlangen. Die Schwachstelle betrifft die AJAX-Aktion "process_add_site()", die unzureichend abgesichert ist. Mit Abonnenten-Rechten lässt sich die interne Option "prod_key_random_id" manipulieren, um die Dateienupload-Funktion "handle_upload_single_big_file()" auszunutzen. Ein Patch ist dringend erforderlich, um diese Sicherheitslücke zu schließen.

Eine hochkritische Sicherheitslücke in IBMs Krypto-Bibliotheken (CVSS-Wert 9.8) erlaubt Angreifern den Zugriff auf Hardwaresicherheitsmodule (HSMs). Die Schwachstelle betrifft diverse IBM-Produkte und kann zur Kompromittierung sensibler Daten führen. Bis ein Patch verfügbar ist, empfehlen Sicherheitsexperten dringend, HSMs von betroffenen Systemen zu trennen.

Eine kritische Sicherheitslücke in Microsoft Azure Front Door ermöglicht Angreifern die Erhöhung ihrer Berechtigungen im System. Dies stellt ein erhebliches Risiko dar, da so unbefugter Zugriff auf sensible Funktionen und Konfigurationen möglich wird. Organisationen, die Azure Front Door nutzen, sollten dringend die verfügbaren Patches installieren, um diese Schwachstelle zu beheben und ihre Sicherheit zu verbessern.

Forscher haben mehrere kritische Sicherheitslücken in Ingress NGINX, einem weit verbreiteten Kubernetes-Verkehrscontroller, entdeckt. Die Schwachstellen CVE-2026-24512 und CVE-2026-1580 ermöglichen es Angreifern, Zugriff auf interne Ressourcen zu erlangen und sogar Code auszuführen. Kubernetes-Administratoren werden dringend empfohlen, umgehend auf eine neuere, nicht betroffene Version zu aktualisieren, da der Support für Ingress NGINX in Kürze endet.