Tech Blog

Eine kritische Schwachstelle in dem WordPress-Theme "Otaku" ermöglicht lokale Dateieinbindung. Angreifer können damit potenziell beliebigen PHP-Code ausführen. Das Theme ist von Version n/a bis 1.8.0 betroffen. Ein Patch ist erforderlich, um die Sicherheitslücke zu schließen.

Eine kritische Sicherheitslücke (CVE-2025-58895) mit einer Bewertung von 8.2 wurde im WordPress-Plugin Integro entdeckt. Die Schwachstelle ermöglicht Angreifern, mittels PHP Local File Inclusion beliebigen Code auf dem Server auszuführen. Betroffen sind alle Versionen des Plugins von n/a bis einschließlich 1.8.0. Admins sollten das Plugin umgehend auf die neueste Version aktualisieren, um die Sicherheit ihrer Systeme wiederherzustellen.

Eine kritische Sicherheitslücke in der KI-Workflow-Plattform Langflow ermöglicht es Unbefugten, auf sensible Nutzerdaten und -funktionen zuzugreifen. Die Schwachstelle betrifft mehrere API-Endpunkte vor Version 1.7.0.dev45, die keine Authentifizierung erfordern. Dadurch können Angreifer auf Konversationen, Transaktionen und sogar Löschfunktionen zugreifen. Ein Patch in Version 1.7.0.dev45 behebt dieses Problem.

Das phpgurukul News Portal Project V4.1 weist eine kritische Sicherheitslücke auf, die es Angreifern ermöglicht, beliebige Dateien zu löschen. Die Schwachstelle befindet sich in der Datei "remove_file.php" und wird durch den Parameter "file" ausgenutzt. Betreiber sollten schnellstmöglich ein Update einspielen, um die Verwundbarkeit zu beheben.

Das phpgurukul News Portal V4.1 weist eine schwerwiegende Sicherheitslücke in der upload.php-Datei auf. Unbefugte Nutzer können ohne Authentifizierung beliebige Dateien auf den Server hochladen. Dies ermöglicht potenzielle Remote-Code-Ausführung mit verheerenden Folgen. Administratoren sollten dringend ein Update auf eine nicht betroffene Version durchführen, bis ein Patch verfügbar ist.

Eine kritische SQL-Injektions-Schwachstelle in der Aimeos Laravel E-Commerce Plattform ermöglicht es Angreifern, sensible Datenbankschema-Informationen offenzulegen. Die Schwachstelle betrifft den 'sort'-Parameter der JSON-API und muss dringend durch Eingabevalidierung und Escaping behoben werden, um die Datenbankintegrität zu schützen.

In der Version 9.31 des 10-Strike Network Inventory Explorer Pro existiert eine kritische Pufferüberlauf-Schwachstelle, die Angreifer ausnutzen können, um Schadcode auszuführen und die betroffenen Systeme zu übernehmen. Betroffen ist die Textdatei-Importfunktion des Programms. Organisationen, die diese Software einsetzen, müssen umgehend Gegenmaßnahmen ergreifen, um ihre Umgebungen zu sichern. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2021-47772, CVE-2025-66292, CVE-2021-47772).

Die Kingdia CD Extractor-Software ist anfällig für einen Puffer-Überlauf-Fehler im Registrierungsnamensfeld. Ein Angreifer könnte diese Schwachstelle ausnutzen, um beliebigen Code auszuführen. Nutzer sind erheblichen Sicherheitsrisiken ausgesetzt, bis ein Patch vorliegt. Ein Update auf eine aktuellere, sichere Version des Programms ist dringend empfohlen.

Eine Puffer-Überlauf-Schwachstelle im YouTube Downloader von LitexMedia ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Systemen. Durch geschickte Manipulation des Structured Exception Handlers kann ein Angreifer eine Rückverbindung zu einem lokalen Port herstellen und so die Systemsicherheit kompromittieren. Betroffene Nutzer sollten dringend ein Update auf eine nicht anfällige Version durchführen.

Eine kritische, unberechtigte SQL-Injection-Schwachstelle in der Build Smart ERP-Version 21.0817 ermöglicht es Angreifern, schadhafte SQL-Abfragen auszuführen und potenziell auf sensible Datenquellen zuzugreifen. Organisationen, die diese ERP-Software einsetzen, müssen umgehend Sicherheitsmaßnahmen ergreifen, um eine Ausnutzung der Lücke (CVE-2021-47777) zu verhindern.