Tech Blog

Eine kritische Sicherheitslücke in Oracle VM VirtualBox ermöglicht es Angreifern mit erhöhten Rechten, das System zu übernehmen. Die Schwachstelle betrifft die Versionen 7.1.14 und 7.2.4 und hat eine CVSS-Bewertung von 8.2. Anwender sollten dringend auf eine aktualisierte Version umsteigen, sobald ein Patch verfügbar ist. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-21987, CVE-2026-21988).

Eine kritische Schwachstelle im WordPress-Theme "Medizin" ermöglicht lokale Dateieinbindung. Betroffen sind alle Versionen vor 1.9.7. Angreifer können damit potenziell beliebigen Code ausführen. Ein Patch ist verfügbar, Sysadmins sollten das Theme umgehend aktualisieren.

Eine hochgefährliche Schwachstelle (CVE-2026-21989) in Oracle VM VirtualBox ermöglicht Angreifern mit Zugriff auf die Infrastruktur den Zugriff auf alle zugänglichen Daten und sogar einen teilweisen Denial-of-Service. Betroffen sind die Versionen 7.1.14 und 7.2.4. Solange noch keine Patches verfügbar sind, ist erhöhte Vorsicht geboten.

Eine kritische Datei-Upload-Schwachstelle in der Version 1.0 des Code-projects Mobile Shop Management Systems ermöglicht Angreifern den Zugriff auf das System. Entwickler sollten dringend ein Update einspielen, um diese Sicherheitslücke mit der CVE-ID CVE-2025-69565 und einem CVSS-Score von 9.8 zu schließen.

In älteren Versionen von GnuPG (vor 2.5.17) führt eine manipulierte CMS-Nachricht mit überlangem verschlüsseltem Sitzungsschlüssel zu einem Puffer-Überlauf im gpg-agent. Dies ermöglicht nicht nur Denial-of-Service-Attacken, sondern auch potenzielle Remotecodeausführung durch Speicherbeschädigung. Admins sollten dringend auf die neueste GnuPG-Version aktualisieren, um diese kritische Sicherheitslücke zu schließen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-24881, CVE-2026-24882).

Gila CMS-Versionen vor 2.0.0 enthalten eine kritische Sicherheitslücke, die es unauthentifizierten Angreifern ermöglicht, beliebige Systemkommandos auszuführen. Angreifer können PHP-Code im User-Agent-Header injizieren und so über manipulierte Anfragen an den Admin-Endpunkt Schadcode ausführen.

Eine kritische Schwachstelle mit einer Bewertung von 9.8 wurde in der Version vor 5.4.8-stable5 des ProjectSkyfire SkyFire_548 Produkts entdeckt. Die Schwachstelle betrifft eine fehlerhafte Zeigerarithmetik, die Angreifern unter Umständen Remotecodeausführung ermöglichen könnte. Bis ein Patch verfügbar ist, wird Nutzern empfohlen, das System auf die neueste stabile Version upzudaten.

Eine Sicherheitslücke in ToDesktop Builder v0.32.1 ermöglicht es unauthentifizierten Angreifern, die Kommunikation mit dem Backend zu manipulieren, indem sie die Zertifikatsüberprüfung umgehen. Dieses kritische Problem mit einer CVSS-Bewertung von 9.8 sollte schnell behoben werden, um Systeme vor unbefugtem Zugriff zu schützen.

Eine Sicherheitslücke im WordPress-Plugin "User Registration" ermöglicht es Angreifern, die Zugriffskontrollen zu umgehen und unbefugten Zugriff zu erlangen. Die Schwachstelle betrifft Versionen bis einschließlich 4.4.6 und sollte umgehend behoben werden.

Eine Sicherheitslücke im Xen Project Hypervisor ermöglicht es Gast-Systemen, Daten zu überschreiben, die eigentlich pro CPU-Kern begrenzt sind. Dies kann zu Speicherbeschädigung und unautorisiertem Zugriff in virtuellen Umgebungen führen. Zum Glück gibt es Patches, um die betroffenen Versionen abzusichern.