Tech Blog

Eine kritische SQL-Injektions-Schwachstelle (CVE-2023-54333) wurde im WordPress-Plugin "Social-Share-Buttons" Version 2.2.3 entdeckt. Angreifer können über den "project_id"-Parameter manipulierte POST-Anfragen senden und so die Datenbankabfragen des Plugins aushebeln. Dies könnte zur Preisgabe und unbefugten Zugriffen auf sensible Daten führen und die Integrität und Vertraulichkeit betroffener WordPress-Installationen kompromittieren.

Sicherheitsforscher haben eine kritische Sicherheitslücke in Fortinet-Geräten entdeckt, die Remote-Code-Ausführung (RCE) und Konfigurationsdaten-Lecks ermöglicht. Die Schwachstelle, bekannt als CVE-2025-64155, muss dringend gepatcht werden, um Angriffe zu verhindern. Administratoren sollten ihre Fortinet-Infrastruktur umgehend aktualisieren, sobald ein Patch verfügbar ist. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-64155, CVE-2025-49201).

Forscher haben eine kritische Sicherheitslücke in der Appsmith-Plattform entdeckt, die es Angreifern ermöglicht, die Kontrolle über Benutzerkonten zu übernehmen. Die Schwachstelle, die als CVE-2026-22794 bekannt ist, muss dringend behoben werden, um Systeme vor unbefugtem Zugriff zu schützen. Bis ein Patch verfügbar ist, empfehlen Experten, Appsmith-Instanzen von öffentlichen Netzen zu isolieren und den Zugriff zu beschränken.

In der Kartenmodul-Komponente wurde eine Nebenläufigkeitslücke mit hoher Schwere (CVE-2025-68956) entdeckt. Erfolgreiche Ausnutzung könnte die Verfügbarkeit beeinträchtigen. Sicherheitsupdates sind dringend empfohlen, um das Problem zu beheben.

Eine Schwachstelle im Card-Framework-Modul führt zu einer Nebeneffekt-Verletzung mit Auswirkungen auf die Verfügbarkeit. Entwickler sollten die Lücke CVE-2025-68955 umgehend schließen, um Ausfälle zu vermeiden.

Eine kritische Schwachstelle im Videoframework führt zu einer Thread-Wettlaufsituation, die die Verfügbarkeit beeinflussen kann. Die Schwachstelle erhält eine Bewertung von 8.4 (Hoch) und sollte zeitnah behoben werden. Bis ein Patch verfügbar ist, empfiehlt sich ein Workaround, um das Risiko zu minimieren.

Eine Wettlaufsituation in einem Mehrfaden-Treiber des Kartentreiber-Moduls kann zur Verfügbarkeitsbeeinträchtigung führen. Die Schwachstelle mit der CVE-ID CVE-2025-68958 weist eine hohe Bewertung auf und sollte zeitnah behoben werden.

Eine kritische Sicherheitslücke im Kartentreiber-Modul kann die Verfügbarkeit beeinflussen. Die Schwachstelle ermöglicht einen Race-Condition-Angriff durch Mehrfadenausführung. Bis ein Patch vorliegt, sollten Administratoren den betroffenen Code sorgfältig überwachen und Notfall-Maßnahmen ergreifen, um Ausfälle zu vermeiden.

Eine SQL-Injection-Schwachstelle in Fortinet FortiVoice 7.2.0 bis 7.2.2 sowie 7.0.0 bis 7.0.7 ermöglicht authentifizierten Angreifern die Ausführung von Schadcode. Die Lücke mit der Bewertung 7.7 (hoch) sollte dringend geschlossen werden, sobald ein Patch verfügbar ist.

Eine Kombination aus externer Kontrolle über Dateinamen/-pfade und Server-Side Request Forgery in der Google Gemini Connector-Konfiguration ermöglicht es Angreifern, durch manipulierte Zugangsdaten beliebige Dateien auszulesen. Dies erfordert lediglich Zugriff mit Berechtigungen zum Erstellen oder Ändern von Connectoren.