Tech Blog

Eine kritische Sicherheitslücke in der Dateiverwaltung ermöglicht es Angreifern, durch manipulierte Dateinamen beliebige Befehle auf dem System auszuführen. Das betrifft Nutzer mit Zugriffsrechten, was die Auswirkungen erheblich verschärft. Bis ein Patch verfügbar ist, sollten Administratoren die Dateiverwaltung genau überwachen und Uploads gründlich überprüfen, um Ausnutzung der Schwachstelle zu verhindern.

Eine Sicherheitslücke in der Dateiupload-Funktion des Soar Cloud HRD Human Resource Management Systems ermöglicht es Angreifern, bis Version 7.3.2025.0408 beliebige Systembefehle auszuführen. Die Schwachstelle mit der CVE-ID CVE-2025-48782 weist eine Bewertung von 9.8 auf der CVSS-Skala auf und sollte daher umgehend behoben werden.

Das WordPress-Plugin "SportsPress" ist bis einschließlich Version 2.7.26 anfällig für eine Local File Inclusion-Schwachstelle. Authentifizierte Angreifer mit Contributor-Rechts oder höher können damit beliebige Dateien auf dem Server ausführen und so die Kontrolle über das System erlangen. Dies kann zur Umgehung von Zugriffskontrollen, dem Auslesen sensibler Daten oder der Ausführung von Schadcode missbraucht werden.

Eine kritische SQL-Injection-Schwachstelle in der Delta Course Automation-Software von Martcode Software Inc. ermöglicht Angreifern die Ausführung beliebiger SQL-Befehle. Betroffen sind alle Versionen bis einschließlich 04022026. Der Hersteller reagierte bislang nicht auf die Offenlegung des Sicherheitslecks.

Eine kritische Sicherheitslücke in der PHP-Anwendung Unicamp ermöglicht es Angreifern, lokal Dateien einzubinden. Die Schwachstelle mit der CVE-ID CVE-2025-54701 weist eine Bewertung von 8.1 (Hoch) auf. Betroffen sind alle Versionen von Unicamp bis einschließlich 2.6.3. Admins sollten dringend ein Update auf eine nicht betroffene Version durchführen, um die Anwendung vor Missbrauch zu schützen.

Eine Sicherheitslücke im Zertifikatsverwaltungs-Feature von Cisco Meeting Management ermöglicht einem authentifizierten Angreifer das Hochladen willkürlicher Dateien, die Ausführung beliebiger Befehle und die Erhöhung der Rechte auf Root-Niveau. Zum Ausnutzen der Schwachstelle mit der CVE-ID CVE-2026-20098 muss der Angreifer lediglich gültige Zugangsdaten eines Video-Operators besitzen.

In der Remote Desktop Audit Software Version 2.3.0.157 wurde eine kritische Sicherheitslücke mit der CVE-ID CVE-2020-37074 entdeckt. Angreifer können durch einen Puffer-Überlauf während des "Add Computers Wizard"-Importprozesses beliebigen Code ausführen. Ein Patch ist dringend erforderlich, um diese Schwachstelle zu schließen und Systeme vor Kompromittierung zu schützen.

Eine kritische SQL-Injection-Schwachstelle im Effizienz-Managementsystem des Herstellers Emit ermöglicht das Ausführen unbefugter SQL-Befehle. Dies könnte zu unberechtigtem Datenzugriff, Manipulation und sogar Datenverlust führen. Der Hersteller wurde informiert, hat aber bislang nicht auf das Problem reagiert. Admins sollten das System dringend aktualisieren, sobald ein Patch verfügbar ist.

Dieser Bericht analysiert die WordPress-Sicherheitslage im Q4 2025. Es wurden über 2.200 Schwachstellen in WordPress-Software entdeckt, darunter 131 kritische Lücken. Angreifer nutzten diese Lücken, um über 9 Milliarden Angriffe zu starten. Der Bericht gibt Seitenbesitzern konkrete Empfehlungen, wie sie ihre Websites mit Wordfence schützen und Kompromittierungen früh erkennen können.

Forscher haben eine kritische Sicherheitslücke in Dockers KI-Assistenten "Ask Gordon" aufgedeckt, die es Angreifern ermöglicht, über manipulierte Bilddaten Schadcode auszuführen und sensible Daten abzugreifen. Docker hat das Problem mittlerweile behoben, aber mal wieder mussten die Admins die Suppe auslöffeln, die sich die Entwickler eingebrockt haben.