Tech Blog

Eine Sicherheitslücke in Microsoft Power Apps ermöglicht autorisierten Angreifern, über ein Netzwerk beliebigen Code auszuführen. Das ist natürlich ein ganz schöner Salat. Admins sollten schnellstmöglich nach einem Patch Ausschau halten und die Applikation bis dahin vom Netz nehmen, wenn möglich.

Eine Schwachstelle in der Backup-Komponente des Crafty Controller erlaubt einem authentifizierten Angreifer über Pfadtraversal-Angriffe das Ausführen beliebigen Codes. Die Lücke mit einer Bewertung von 8.2 "Hoch" muss dringend geschlossen werden, um Systeme vor Kompromittierung zu schützen.

Eine kritische Sicherheitslücke im SUNNET Corporate Training Management System ermöglicht es Angreifern, ohne vorherige Authentifizierung auf Bereitstellungsfunktionen zuzugreifen. Das System ist vor Version 10.11 betroffen. Administratoren sollten umgehend ein Sicherheitsupdate einspielen, um ihre Systeme vor unbefugtem Zugriff zu schützen.

Eine Codeinjektions-Schwachstelle in Ivanti Endpoint Manager Mobile ermöglicht Angreifern die unauthentifizierte Ausführung von Remotecode. Mit der CVE-2026-1340 Verwundbarkeit mit einer Schweregrad-Bewertung von 9.8 können Übeltäter unkompliziert die Kontrolle über betroffene Systeme erlangen. Admins sollten dringend das bereitgestellte Sicherheitsupdate installieren, um ihre Infrastruktur vor dieser kritischen Sicherheitslücke zu schützen.

In der Eclipse Theia Website-Repository wurde eine kritische Sicherheitslücke in der GitHub Actions-Workflow-Datei entdeckt. Durch unsichere Konfiguration konnten Angreifer beliebigen Code in der CI-Umgebung mit Zugriff auf Repository-Geheimnisse und einem GITHUB_TOKEN mit weitreichenden Schreibrechten ausführen. Dies ermöglichte das Auslesen von Geheimnissen, das Veröffentlichen schädlicher Pakete und das Modifizieren der offiziellen Theia-Website.

In der Inference-Engine vLLM für große Sprachmodelle (LLMs) ermöglicht eine Sicherheitslücke bis Version 0.14.0 Angreifern die Ausführung von beliebigem Code auf dem Hostrechner. Durch Manipulation des Modellpfads können Schädlinge die Schwachstelle ausnutzen, ohne Zugriff auf die API zu benötigen. Ein Patch in Version 0.14.0 behebt das Problem.

Eine kritische Sicherheitslücke (CVE-2025-64709) in der Typebot Chatbot-Software erlaubte es authentifizierten Nutzern, beliebige HTTP-Anfragen vom Server aus zu stellen. Dadurch konnten AWS-Zugangsdaten gestohlen und der gesamte Kubernetes-Cluster sowie die damit verbundene AWS-Infrastruktur kompromittiert werden. Das Problem wurde mit Version 3.13.1 behoben.

Eine Sicherheitslücke im HeyGarson-Produkt von Codriapp Innovation and Software Technologies Inc. ermöglicht es Angreifern, Fehler-Nachrichten mit sensiblen Informationen zu generieren. Dies kann für Fuzzing-Angriffe zur Erkundung der Anwendungsstruktur missbraucht werden. Der Hersteller hat trotz mehrfacher Kontaktaufnahme nicht auf die Schwachstelle reagiert.

Eine kritische Schwachstelle (CVE-2024-30264, Bewertung 8.1 "Hoch") in der Anmeldung der Open-Source-Chatbot-Plattform Typebot erlaubt Angreifern, Nutzerkonten zu kapern. Vor Version 2.24.0 konnte der "redirectPath"-Parameter missbraucht werden, um beliebigen JavaScript-Code auszuführen. Der Patch in Version 2.24.0 behebt dieses Sicherheitsproblem.

Eine kritische Sicherheitslücke in der Version 1.0.9 des Prowise Reflect-Software ermöglicht es Angreifern, über einen WebSocket-Zugang auf Port 8082 beliebige Tastatureingaben auf dem Zielgerät auszuführen. Angreifer können so Anwendungen öffnen und beliebigen Text eingeben, was zu schwerwiegenden Folgen führen kann. Ein Patch ist dringend erforderlich, um diese Schwachstelle mit CVE-2022-50925 zu schließen.