Tech Blog

In bestimmten Siemens-Geräten wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, sich als legitime Nutzer auszugeben und so unbefugten Zugriff zu erlangen. Betreiber betroffener Siemens-Produkte sollten ihre Sicherheitsmaßnahmen überprüfen und geeignete Schritte ergreifen, um dieses Risiko zu mindern.

Eine schwerwiegende Sicherheitslücke in Siemens' TeleControl Server Basic ermöglicht Angreifern die Ausführung beliebigen Codes mit erhöhten Rechten. Betroffen sind alle Versionen vor 3.1.2.4. Nutzer sollten unverzüglich auf die neueste Version aktualisieren, um das Risiko zu minimieren.

Eine kritische Schwachstelle in TYPO3 ermöglicht es lokalen Nutzern, durch manipulierte Mails beliebigen PHP-Code auf dem Server auszuführen. Das Problem betrifft verschiedene TYPO3-Versionen von 10.0.0 bis 14.0.1 und muss dringend behoben werden. Ein Update auf die Versionen 10.4.55 ELTS, 11.5.49 ELTS, 12.4.41 LTS, 13.4.23 LTS oder 14.0.2 schließt die Sicherheitslücke. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-0859, CVE-2025-59021).

Sicherheitsforscher haben eine kritische Schwachstelle im TYPO3-CMS-Recycler-Modul entdeckt. Angreifer mit Zugriff auf das Backend konnten damit beliebige Daten aus der Datenbank löschen - unabhängig von ihren eigentlichen Berechtigungen. Dies könnte zu einem Totalausfall der Website führen. Ein Patch ist verfügbar, Anwender sollten schnell updaten.

Eine Sicherheitslücke in TYPO3 ermöglichte es Angreifern, Datenbankfelder zu manipulieren, für die sie eigentlich keine Schreibrechte hatten. Die Schwachstelle wurde in den TYPO3-Versionen 10.4.55 ELTS, 11.5.49 ELTS, 12.4.41 LTS, 13.4.23 LTS und 14.0.2 behoben.

Das WordPress-Theme "Dreamer Blog" bis Version 1.2 ist von einer Sicherheitslücke betroffen, die es Angreifern ermöglicht, beliebige Installationen durchzuführen. Dies kann zu unbefugtem Zugriff und möglicher Ausnutzung führen. Nutzer sollten das Theme umgehend auf die neueste Version aktualisieren, um Sicherheitsvorfälle zu vermeiden. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-10915, CVE-2025-14829, CVE-2025-10915).

Eine Sicherheitslücke im WordPress-Plugin "E-xact Hosted Payment" ermöglicht es Angreifern, ohne Authentifizierung Dateien auf dem Server zu löschen. Das Plugin ist bis Version 2.0 betroffen. Die Schwachstelle entsteht durch unzureichende Überprüfung von Dateipfaden, was Manipulationen und Datenverluste ermöglichen kann. Insgesamt wurden 4 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-14829, CVE-2022-50794, CVE-2022-50795, CVE-2023-53955).

Im Progress Kemp LoadMaster wurden zwei schwerwiegende Schwachstellen, CVE-2025-13444 und CVE-2025-13447, entdeckt. Diese ermöglichen potenziell unbefugten Zugriff und Ausführung von Schadcode. Admins sollten umgehend die bereitgestellten Patches installieren, um ihre Systeme vor Kompromittierung zu schützen.

Schwachstelle in MLFlow-Versionen bis 3.4.0 ermöglicht DNS-Umleitungsangriffe. Angreifer können so unbefugt auf REST-Schnittstellen zugreifen und Experimente auslesen, ändern oder löschen. Das Risiko von Datenverlust oder -manipulation ist gegeben. Das Problem wurde in Version 3.5.0 behoben.

Die US-Cyberbehörde CISA warnt vor einer kritischen Sicherheitslücke in der beliebten Git-Server-Software Gogs. Die Schwachstelle mit der CVE-ID CVE-2025-8110 ermöglicht Angreifern das Ausführen von beliebigem Code. Laut CISA wird die Lücke bereits aktiv ausgenutzt. Admins sollten Gogs umgehend auf die neueste Version aktualisieren, um ihre Systeme vor Kompromittierung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-8110, CVE-2025-8110).