Tech Blog

Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke (CVE-2025-11953) im beliebten "@react-native-community/cli" npm-Paket entdeckt. Mit einem CVSS-Score von 9.8 erlaubt die Schwachstelle Remote-Code-Ausführung ohne Authentifizierung. Angreifer nutzen diese Lücke bereits aus, um bösartigen Code auf betroffenen Systemen auszuführen. Entwickler und Systemadministratoren sollten dringend ein Update auf eine Patched-Version des Pakets installieren, um sich vor dieser kritischen Schwachstelle zu schützen.

Eine Schwachstelle in ELECOM WLAN-Accesspoints ermöglicht Angreifern durch präparierte Netzwerkpakete die Ausführung von beliebigem Code. Das Problem betrifft die Modellreihe Wab-s733iw2-pd und kann zur Kompromittierung der betroffenen Geräte führen. Hersteller ELECOM hat bislang keinen Patch veröffentlicht, Administratoren sollten die Geräte daher umgehend vom Netz nehmen.

Die russische Hackergruppe APT28 missbraucht eine Sicherheitslücke in Microsoft Office, um Benutzer in der Ukraine, der Slowakei und Rumänien anzugreifen. Die Schwachstelle mit der CVE-ID CVE-2026-21509 ermöglicht den Angreifern, bösartigen Code auszuführen. Betroffene Unternehmen und Behörden sollten dringend das Microsoft-Update installieren, um sich vor diesen Spionage-Aktivitäten zu schützen.

In Versionen des File Browser-Tools vor 2.45.1 existiert eine Sicherheitslücke, die es Nutzern mit Berechtigungen erlaubt, die geteilten Links anderer Nutzer ohne Autorisierung zu löschen. Dies kann zu Ausfällen bei der Dateiverwaltung, Datenverlust in Kollaborationsumgebungen und Verstößen gegen Vertraulichkeitsvereinbarungen führen. Ein Patch in Version 2.45.1 behebt das Problem.

Eine kritische Schwachstelle in einem API-Endpunkt ermöglicht es unbefugten Nutzern, sensible Informationen abzurufen. Außerdem können Angreifer den Logdatei-Pfad und die TCP-Ports des Dienstes manipulieren, was zu einem Denial-of-Service-Angriff führen kann. Die Entwickler sollten dringend einen Patch bereitstellen, um diese Sicherheitslücke zu schließen.

Vor Version 2.3 des Cursor-Editors konnte ein Angreifer durch Manipulationen der Umgebungsvariablen Schadcode ausführen, ohne dass dies in der Zulassungsliste auftauchte. Die Schwachstelle mit der CVE-ID CVE-2026-22708 wurde als kritisch (CVSS 9.8) eingestuft und ist in Version 2.3 behoben.

Eine Sicherheitslücke in der GNU C Library (Version 2.30 bis 2.42) kann zu Heap-Korruption führen, wenn die Funktion "memalign" mit zu großen Ausrichtungsparametern aufgerufen wird. Allerdings ist die Ausnutzung dieser Schwachstelle in der Praxis eher unwahrscheinlich, da die Ausrichtungsparameter normalerweise bekannte und begrenzte Werte sind. Dennoch sollte der Patch zeitnah eingespielt werden, um das Risiko zu minimieren.

Eine kritische Sicherheitslücke in Innomic-Geräten erlaubt es Angreifern, ohne Authentifizierung die volle administrative Kontrolle zu erlangen. Die Standardeinstellungen der Geräte erzwingen keine Passwortvergabe, was den unbefugten Zugriff begünstigt. Dieses Fehlkonfiguration stellt eine erhebliche Bedrohung für die Netzwerksicherheit dar.

Die Software "SKSPro" des Herstellers AKCE Software Technology R&D Industry and Trade Inc. ist von einer kritischen SQL-Injection-Schwachstelle betroffen (CVE-2025-8587). Angreifer können damit die SQL-Abfragen manipulieren und so auf unberechtigte Daten zugreifen, Daten abgreifen oder sogar das System kompromittieren. Anwender müssen dringend Sicherheitsupdates installieren, um ihre Anwendungen vor möglichen Ausnutzungen zu schützen.

In Lunary AI Version 1.2.2 wurde eine schwerwiegende Sicherheitslücke entdeckt, die es Nutzern mit "Viewer"-Rolle ermöglicht, Konten anderer Nutzer zu übernehmen. Die Schwachstelle tritt auf, wenn ein Nutzer mit geringeren Rechten eine spezielle Anfrage sendet, die den Server dazu bringt, ein Passwort-Reset-Token preiszugeben. Mit diesem Token kann ein böswilliger "Viewer" dann das Passwort eines anderen Kontos zurücksetzen und es komplett übernehmen. Diese massive Angriffsfläche stellt ein erhebliches Risiko dar und ermöglicht Eskalation von Privilegien und unbefugten Zugriff auf Konten.