Tech Blog

Eine kritische Sicherheitslücke im WordPress-Plugin "Snow Monkey Forms" ermöglicht es unbefugten Angreifern, willkürlich Dateien auf dem Server zu löschen. Dies kann zu Remote-Code-Execution führen, wenn beispielsweise die wp-config.php-Datei gelöscht wird. Betroffen sind alle Versionen bis einschließlich 12.0.3. Ein Patch ist dringend erforderlich, um die Sicherheit der WordPress-Installationen zu gewährleisten.

Die Sicherheitslücke CVE-2021-47902 mit einem Schweregrad von 8.2 "Hoch" betrifft das Testa Online Test Management System 3.4.7. Angreifer können durch manipulierte Suchanfragen über den 'q'-Parameter SQL-Injections durchführen und so möglicherweise auf sensible Nutzer- oder Systemdaten zugreifen. Ein Patch ist verfügbar, den Admins zeitnah einspielen sollten, um ihre Systeme zu schützen.

Die Schwachstelle CVE-2025-69038 in der Hyori-Version <= 1.3.6 des WordPress-Plugins "goalthemes Hyori" ermöglicht lokale Dateieinbindung. Angreifer können damit potenziell beliebigen PHP-Code ausführen. Ein Patch ist verfügbar, Sysadmins sollten das Plugin umgehend aktualisieren.

Eine Schwachstelle in dem PHP-Framework "Vango" ermöglicht es Angreifern, lokal gespeicherte Dateien einzubinden. Dies kann zu einer Remote-Code-Ausführung führen. Betroffen sind alle Versionen bis einschließlich 1.3.3. Ein Patch ist bislang nicht verfügbar, Admins sollten das Framework umgehend aktualisieren oder deaktivieren, bis eine Lösung vorliegt.

Eine Schwachstelle im WordPress-Plugin "Nelio AB Testing" erlaubt es Angreifern, willkürlichen Code auf betroffenen Systemen auszuführen (CVE-2025-67944). Das Plugin ist von Version n/a bis einschließlich 8.1.8 betroffen. Nutzer sollten das Plugin umgehend auf die neueste, gepatcht Version aktualisieren, um sich vor dieser kritischen Sicherheitslücke zu schützen.

Eine kritische SQL-Injection-Schwachstelle in der MailerLite-WooCommerce-Integration ermöglicht es Angreifern, beliebigen SQL-Code auszuführen. Das betrifft Versionen von n/a bis einschließlich 3.1.2. Admins sollten dringend auf die neueste Version updaten, um die Sicherheitslücke zu schließen.

In der Version 4.13 des Easy CD & DVD Cover Creators findet sich eine Pufferüberlauf-Schwachstelle im Seriennummerfeld. Angreifer können damit eine 6000-Byte-Payload einspielen, die zum Absturz der Anwendung führt. Diese Denial-of-Service-Lücke kann die normale Nutzung der Software empfindlich stören.

Eine Sicherheitslücke in der Version 4.1.1 des Knockpy-Tools ermöglicht Angreifern das Einschleusen schädlicher Formeln in CSV-Berichten. Durch Manipulation der Server-Antwort-Header können Schadsoftware-Codes in die Tabellen eingebettet werden, die beim Öffnen der Datei ausgeführt werden. Dies stellt ein erhebliches Risiko für Nutzer dar, die die CSV-Dateien ahnungslos öffnen.

In der Version 1.0 des Content-Management-Systems Victor CMS existiert eine kritische Sicherheitslücke, die es authentifizierten Nutzern ermöglicht, potenziell schädliche PHP-Dateien über die Profil-Bild-Upload-Funktion hochzuladen. Dadurch können Angreifer eine PHP-Shell im Verzeichnis "/img" platzieren und so beliebige Systembefehle ausführen. Das stellt eine ernsthafte Bedrohung für die Integrität und Sicherheit des gesamten Systems dar.

Eine Sicherheitslücke in der Version 0.9.8-26 von VestaCP ermöglicht Angreifern, über unzureichende Überprüfung von Sitzungstoken auf Nutzerkonten zuzugreifen, ohne die erforderlichen Administratorrechte zu besitzen. Dies kann zu einem Sicherheitscompromittierung betroffener Systeme führen.