Tech Blog

Eine kritische Sicherheitslücke im Edimax EW-7438RPn-v3 Mini WLAN-Router ermöglicht Angreifern ohne Authentifizierung das Ausführen beliebiger Befehle. Durch präparierte POST-Anfragen an den "/goform/mp"-Endpunkt können Schadsoftware heruntergeladen und ausgeführt werden, was zur Kompromittierung des Systems führen kann. Benutzer dieses Geräts sollten umgehend Gegenmaßnahmen ergreifen, um die mit dieser Schwachstelle verbundenen Risiken zu mindern.

Eine schwerwiegende Sicherheitslücke (CVE-2026-22341) im WordPress-Plugin "Booked" ermöglicht Angreifern das Umgehen der Authentifizierung und den Zugriff auf sensible Daten. Betreiber sollten das Plugin umgehend auf die neueste Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

Eine kritische Sicherheitslücke mit CVSS 9.4 wurde in der n8n Workflow-Automatisierungsplattform entdeckt. Die Schwachstelle ermöglicht die Ausführung beliebiger Systemkommandos. Dies ist die Folge unzureichender Eingabesanitierung, die zuvor bekannte Sicherheitslücken wie CVE-2025-68613 nicht vollständig behebt. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-68613, CVE-2026-25049, CVE-2025-55182).

Eine schwerwiegende Sicherheitslücke in der Bibliothek libsoup ermöglicht Angreifern das Ausführen von beliebigem Code. Die Schwachstelle tritt beim Parsen von mehrteiligen HTTP-Antworten auf und kann durch speziell präparierte Anfragen ausgenutzt werden. Betroffen sind Anwendungen, die ungeprüfte Serverantworten verarbeiten. Ein Patch ist erforderlich, um die Verwundbarkeit zu beheben und Abstürze oder Schadcode-Ausführung zu verhindern.

Das WordPress-Plugin "Popup builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers" weist eine kritische SQL-Injection-Schwachstelle auf, die es unauthentifizierten Angreifern ermöglicht, sensible Daten aus der Datenbank abzugreifen. Die Lücke betrifft alle Versionen bis einschließlich 2.2.0 und wurde in den Versionen 2.2.1 und 2.2.3 behoben.

Eine Diskrepanz bei der Verarbeitung von Go- und C/C++-Kommentaren ermöglichte es, Code in den resultierenden cgo-Binärcode zu schmuggeln. Dies könnte Sicherheitslücken und unerwartetes Verhalten zur Folge haben. Betroffen sind Anwendungen, die Go und cgo verwenden. Bis ein Patch verfügbar ist, sollten Entwickler ihre Kommentarverarbeitung überprüfen und sicherstellen, dass keine unerwünschten Inhalte in den finalen Binärcode gelangen.

In der Langroid-Framework-Version vor 0.59.32 gibt es eine Schwachstelle, die es ermöglicht, den Schutz vor Code-Injektion zu umgehen. Durch eine Kombination von Designschwächen kann die Ausführung beliebigen Codes erreicht werden. Zum Glück wurde dieses Problem in Version 0.59.32 behoben.

Vor Version 3.57.0 des Dateimanagers Alist wurde die SSL/TLS-Zertifikatsprüfung standardmäßig deaktiviert, was das System anfällig für Man-in-the-Middle-Angriffe machte. Dadurch konnten Angreifer sämtliche Daten während der Dateiübertragungen entschlüsseln, stehlen oder manipulieren, was die Vertraulichkeit und Integrität der Nutzerdaten massiv gefährdete. Die Schwachstelle mit der CVE-ID CVE-2026-25160 wurde in Version 3.57.0 behoben.

Eine Schwachstelle in IBM Aspera Console ermöglicht es Angreifern, via SQL-Injektion auf die Datenbank zuzugreifen und Informationen auszulesen, zu manipulieren oder zu löschen. Betroffen sind die Versionen 3.4.0 bis 3.4.8. Admins sollten umgehend auf die neueste Version aktualisieren, um das System vor Kompromittierung zu schützen.

Eine kritische SQL-Injektion-Schwachstelle in der phpMyChat Plus 1.98-Version ermöglicht Angreifern, durch manipulierte Eingaben in der deluser.php-Seite auf vertrauliche Datenbank-Informationen zuzugreifen. Verschiedene Techniken wie boolean-basierte, fehlerbasierte und zeitbasierte blinde SQL-Injektion können ausgenutzt werden. Administratoren sollten dringend ein Sicherheitsupdate einspielen, um die Lücke zu schließen.