Tech Blog

SolarWinds hat erneut schwerwiegende Sicherheitslücken in seinem IT-Helpdesk-Tool Web Help Desk bekannt gegeben. Die Schwachstellen ermöglichen Angreifern die Umgehung der Authentifizierung und die Ausführung von Remotecode. Admins müssen die Systeme dringend auf die aktuelle Version 2026.1 aktualisieren, um die Lücken zu schließen und weitere Kompromittierungen zu verhindern.

Eine schwerwiegende Sicherheitslücke in Grist Spreadsheets, bekannt als CVE-2026-24002, erlaubt Angreifern den Ausbruch aus der Sandbox und die Ausführung von beliebigem Code. Dieses Sandbox-Escape-Problem verwandelt die Tabellenkalkulationsanwendung in ein potenzielles Einfallstor für Remote-Code-Execution-Attacken. Administratoren sollten dringend nach verfügbaren Patches oder Workarounds Ausschau halten, um ihre Systeme vor dieser kritischen Schwachstelle zu schützen.

Sicherheitsforscher haben eine kritische Schwachstelle in der Archivierungs-Software WinRAR entdeckt, die von Geheimdiensten ausgenutzt wird. Die Lücke mit der CVE-ID CVE-2025-8088 ermöglicht Fernzugriff auf betroffene Systeme. Anwender sollten WinRAR umgehend auf die neueste Version aktualisieren, um sich vor dieser Bedrohung zu schützen.

Eine hochkritische Sicherheitslücke (CVSS 10) in der SandboxJS-Bibliothek ermöglicht Angreifern den vollständigen Ausbruch aus der Sandbox. Damit können sie unkontrollierten Code auf dem System ausführen. Anwender sollten dringend auf eine gepatche Version aktualisieren, sobald ein Fix verfügbar ist.

Eine Sicherheitslücke im WordPress-Plugin "Kids Heaven" ermöglicht es Angreifern, bösartigen Code in die Anwendung einzuschleusen. Die Schwachstelle betrifft Versionen bis 3.2 und hat eine hohe Schwere von 8.8. Admins sollten das Plugin umgehend aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

Eine schwerwiegende Schwachstelle mit CVSS-Bewertung 9.8 wurde in der Konsultationssoftware Consult Aid entdeckt. Unbefugte können durch die Deserialisierung von unsicheren Daten eine Objektinjektion ausführen. Das betrifft Versionen bis einschließlich 1.4.3. Admins sollten umgehend auf die neueste, korrigierte Version aktualisieren, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke (CVE-2025-67616, 8.1 High) in BZOTheme Mella ermöglicht PHP-Dateieingabe. Betroffen sind alle Versionen von Mella bis einschließlich 1.2.29. Die Schwachstelle kann für Remote Code Execution missbraucht werden. Admins sollten schnellstmöglich auf eine aktualisierte Version des Themes wechseln. Insgesamt wurden 5 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-67616, CVE-2025-67615, CVE-2025-58958, CVE-2025-58967, CVE-2025-59558).

Das WordPress-Plugin "Custom Login Page Customizer" bis Version 2.5.4 hat eine Sicherheitslücke im Passwort-Reset-Prozess. Angreifer können mit wenigen unbefugten Anfragen das Passwort beliebiger Nutzer, inklusive des Administrators, zurücksetzen und so Zugriff auf deren Konten erlangen.

Das WordPress-Plugin "Search Atlas SEO" hat eine Sicherheitslücke, die es Angreifern mit Subscriber-Rechten oder höher ermöglicht, sich als Administrator anzumelden. Die Schwachstelle betrifft die Versionen 2.4.4 bis 2.5.12 und ermöglicht das Auslesen eines Authentifizierungs-Tokens. Betroffene Seitenbetreiber sollten das Plugin umgehend auf die neueste Version aktualisieren, um die Lücke zu schließen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-14386, CVE-2025-67957).

Eine Sicherheitslücke im QR-Menü-System der Akın Software Computer Import Export Industry and Trade Ltd. ermöglicht es Angreifern, die Authentifizierung zu umgehen. Das Problem betrifft Versionen vor s1.05.12 und wird als "Improper Access Control" eingestuft. Administratoren sollten das System umgehend auf die neueste Version aktualisieren, um Schäden durch Missbrauch zu verhindern.