Tech Blog

Eine kritische Schwachstelle im OpenJPEG-Codec ermöglicht durch einen Pufferüberlauf das Schreiben von Speicherbereichen außerhalb des vorgesehenen Bereichs. Dies kann zu Abstürzen oder möglicherweise sogar zur Ausführung von Schadcode führen. Betroffen sind die Versionen 2.5.1 bis 2.5.3. Ein Patch ist verfügbar, Anwender sollten OpenJPEG umgehend aktualisieren.

Eine Sicherheitslücke mit hoher Schwere (CVE-2025-58098) in Apache HTTP Server 2.4.65 und älteren Versionen ermöglicht Remote Code Execution, wenn Server Side Includes (SSI) und mod_cgid aktiviert sind. Betreiber sollten schnellstmöglich auf Version 2.4.66 aktualisieren, um die Lücke zu schließen.

Eine kritische Sicherheitslücke in Oracle HTTP Server und Weblogic Server Proxy erlaubt es Angreifern ohne Authentifizierung, auf sensible Daten zuzugreifen und diese zu manipulieren. Die Lücke betrifft die Versionen 12.2.1.4.0, 14.1.1.0.0 und 14.1.2.0.0 und hat eine maximale CVSS-Bewertung von 10.0. Administratoren sollten dringend die betroffenen Systeme patchen, um Schäden zu vermeiden.

Eine schwerwiegende Sicherheitslücke im WordPress-Plugin "LA-Studio Element Kit for Elementor" erlaubt es unauthentifizierten Angreifern, sich als Administrator auf der betroffenen Website anzumelden. Die Schwachstelle betrifft alle Versionen bis einschließlich 1.5.6.3 und wurde mit der CVE-ID CVE-2026-0920 dokumentiert. Betreiber sollten das Plugin umgehend auf die neueste Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

Eine schwerwiegende SQL-Injection-Schwachstelle in der Hotel-Gast-Hotspot-Software von Aida Computer Information Technology Inc. ermöglicht Angreifern, beliebige SQL-Befehle auszuführen. Der Hersteller hat trotz Kontaktaufnahme nicht reagiert, sodass Kunden selbst Gegenmaßnahmen ergreifen müssen.

Eine kritische Sicherheitslücke im WordPress-Plugin "Eventer" ermöglicht Angreifern Blind-SQL-Injection-Attacken. Die Schwachstelle betrifft Versionen vor 3.11.4 und kann zur Übernahme des Systems führen. Admins sollten das Plugin umgehend auf die neueste Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

In der Firmware-Version 1.0.0.1 des Tenda AX1803-Routers wurde eine schwerwiegende Schwachstelle mit der CVE-2026-1329 entdeckt. Ein Angreifer kann durch eine Manipulation der Funktion "fromGetWifiGuestBasic" einen Puffer-Überlauf ausnutzen und so möglicherweise Schadcode ausführen. Ein Exploit ist bereits veröffentlicht, sodass Administratoren dringend ein Firmware-Update einspielen sollten, um ihre Systeme vor Angriffen zu schützen.

In der Totolink NR1800X Router-Firmware wurde eine Sicherheitslücke mit einem Schweregrad von 8.8 entdeckt. Durch Manipulation des "ssid"-Parameters in der "setWizardCfg"-Funktion der "/cgi-bin/cstecgi.cgi"-Komponente kann ein Pufferüberlauf ausgelöst werden. Der Angriff kann remote erfolgen, da der Exploit bereits öffentlich verfügbar ist. Administratoren sollten dringend ein Firmware-Update einspielen, sobald es vom Hersteller bereitgestellt wird.

Eine kritische Schwachstelle im ESP-NOW-Protokoll des Espressif IoT-Entwicklungsframeworks ermöglicht unter bestimmten Umständen potenziell Remotecodeausführung auf betroffenen Geräten. Der Fehler liegt in der unzureichenden Überprüfung von Benutzerdaten, was zu einem Integer-Underflow und daraus resultierenden Speicherzugriffen führen kann. Nutzer werden empfohlen, auf eine gepatchte Version des Frameworks zu aktualisieren, um von den integrierten Schutzmaßnahmen zu profitieren.

Das Espressif Internet of Things (IoT) Entwicklungsframework ESP-IDF enthielt schwerwiegende Sicherheitslücken in der Handhabung von WLAN-Zugangsdaten und Diffie-Hellman-Schlüsselaustausch. Diese mit CVE-2025-55297 gekennzeichnete Schwachstelle mit hoher Schweregrad-Einstufung wurde in den Versionen 5.4.1, 5.3.3, 5.1.6 und 5.0.9 behoben. Sysadmins sollten dringend auf diese Patches umstellen, um Pufferüberlauf-Attacken auf ihre IoT-Geräte zu verhindern. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-55297, CVE-2025-68473).