Tech Blog

Das WordPress-Plugin "Dokan: AI Powered WooCommerce Multivendor Marketplace Solution" weist eine kritische Sicherheitslücke (CVE-2025-14977) auf, die es Angreifern ermöglicht, auf vertrauliche Zahlungsinformationen und Kontaktdaten anderer Verkäufer zuzugreifen und diese zu manipulieren. Dies kann zu Identitätsdiebstahl und finanziellen Verlusten führen. Ein Patch ist dringend erforderlich. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-14977, CVE-2025-14533).

Eine Use-after-free-Lücke in der ANGLE-Bibliothek von Google Chrome erlaubt es Angreifern, durch präparierte HTML-Seiten potenziell Heap-Korruption auszunutzen. Die Schwachstelle betrifft Chrome-Versionen vor 144.0.7559.59 und wird von Google als "Low" eingestuft. Ein Patch ist verfügbar, Anwender sollten ihr Chrome-Browser zeitnah aktualisieren. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0908, CVE-2026-0907, CVE-2026-0906, CVE-2026-0902).

Eine kritische Sicherheitslücke in der V8-Engine von Google Chrome erlaubte es Angreifern, durch manipulierte HTML-Seiten die Objektintegrität zu kompromittieren. Betroffen sind Chrome-Versionen vor 144.0.7559.59. Ein Patch ist dringend empfohlen, um Remotecodeausführung durch Cyberkriminelle zu verhindern.

Eine kritische Sicherheitslücke in Googles Chrome-Browser (CVE-2026-0899) ermöglichte Angreifern die Ausführung von Code außerhalb des vorgesehenen Speichers. Betroffen waren Chrome-Versionen vor 144.0.7559.59. Ein Patch ist verfügbar, Nutzer sollten ihre Browser schnellstmöglich aktualisieren, um Angriffen vorzubeugen.

Der PrismX MX100 AP-Controller von BROWAN COMMUNICATIONS weist eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-1221 auf. Angreifer können sich ohne Authentifizierung in die Datenbank einloggen, da die Zugangsdaten fest im Firmware-Code eingebaut sind. Dies ermöglicht potenziell den unautorisierten Zugriff auf sensible Informationen.

Eine schwerwiegende Schwachstelle in der Open-Source-Sicherheitsplattform reNgine 2.2.0 ermöglicht es Angreifern, durch Manipulation des "nmap_cmd"-Parameters beliebigen Code auf betroffenen Systemen auszuführen. Die Schwachstelle mit der Kennung CVE-2024-58287 hat eine Bewertung von 8.8 (Hoch) und sollte dringend behoben werden. Bis ein Patch verfügbar ist, empfiehlt es sich, die Verwendung von reNgine 2.2.0 zu vermeiden oder die Anwendung manuell zu überprüfen.

Die Sicherheitslücke CVE-2026-22852 mit einem kritischen CVSS-Score von 9.8 betrifft den FreeRDP-Client. Ein böswilliger RDP-Server kann einen Heap-Puffer-Überlauf auslösen, wenn der Client Audio-Eingabe-Formate verarbeitet. Das führt zu Speicherbeschädigung und Abstürzen. Der Patch in Version 3.20.1 behebt dieses Problem. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-22852, CVE-2026-22855, CVE-2026-22856, CVE-2026-22858).

Eine kritische Schwachstelle mit der CVE-ID CVE-2026-22853 wurde in der freien Implementierung des Remote Desktop Protokolls FreeRDP entdeckt. Betroffen sind Versionen vor 3.20.1, bei denen der NDR-Array-Reader keine Plausibilitätsprüfung der Elementanzahl durchführt. Dies kann zu einem Heap-Puffer-Überlauf führen. Der Fehler wurde in Version 3.20.1 behoben.

Eine kritische Sicherheitslücke mit der CVE-ID CVE-2026-22854 wurde in der freien RDP-Implementierung FreeRDP entdeckt. Vor Version 3.20.1 konnte ein Heap-Puffer-Überlauf ausgenutzt werden, um Speicherbereiche zu überschreiben. Dieses Problem wurde in der aktuellen Version behoben. Sysadmins sollten dringend auf die neueste FreeRDP-Version aktualisieren, um ihre Systeme vor dieser Schwachstelle zu schützen.

Python-Bibliotheken wie NeMo, Uni2TS und FlexTok, die in Hugging-Face-Modellen verwendet werden, weisen eine schwerwiegende Sicherheitslücke auf. Angreifer können Schadcode in manipulierten Metadaten verstecken, der beim Laden automatisch ausgeführt wird. Die Schwachstelle betrifft die "instantiate()"-Funktion der Hydra-Bibliothek, die von allen drei Bibliotheken genutzt wird. Obwohl bisher keine Angriffe in freier Wildbahn bekannt sind, warnen Sicherheitsexperten vor dem hohen Verbreitungsgrad der betroffenen Bibliotheken und der Gefahr, dass Angreifer die Lücke ausnutzen könnten.