Tech Blog

Eine Sicherheitslücke in der Version 18.34 des Print Shop Pro WebDesk von edu Business Solutions erlaubt es Angreifern, über die Endpoint /PSP/appNET/Store/CartV12.aspx/GetUnitPrice Artikel mit negativer Menge zu kaufen und so finanzielle Unregelmäßigkeiten zu verursachen. Das Problem liegt in der unzureichenden clientseitigen Eingabevalidierung.

In der Version 5.4.8 des Semantic Machines-Systems gibt es eine Sicherheitslücke, die es Angreifern ermöglicht, die Authentifizierung zu umgehen, indem sie eine manipulierte HTTP-Anfrage an verschiedene API-Endpunkte senden. Administratoren sollten dringend ein Update auf eine neuere, gepatcht Version durchführen, um diese Schwachstelle zu schließen.

Eine Schwachstelle in Fortinet FortiFone 7.0.0 bis 7.0.1 und 3.0.13 bis 3.0.23 erlaubt es einem unbefugten Angreifer, über manipulierte HTTP- oder HTTPS-Anfragen die Geräte-Konfiguration auszulesen. Dies führt zur Offenlegung sensibler Informationen. Ein Patch ist erforderlich, um diese kritische Sicherheitslücke mit CVE-2025-47855 zu schließen.

Eine Sicherheitslücke in Fortinet FortiSIEM ermöglicht Angreifern die Ausführung von Schadcode. Die Verwundbarkeit betrifft verschiedene Versionen der Produkte und kann durch manipulierte TCP-Anfragen ausgenutzt werden. Administratoren sollten umgehend Patches von Fortinet installieren, um ihre Systeme vor dieser kritischen Schwachstelle zu schützen.

In der Datei-Update-Funktion von Directus (Version 10.8.0 bis vor 11.9.3) gibt es eine kritische Sicherheitslücke, die es Angreifern ohne Authentifizierung ermöglicht, bestehende Dateien mit beliebigem Inhalt zu modifizieren oder neue Dateien mit beliebigem Inhalt und Dateierweiterungen hochzuladen, die dann nicht im Directus-Interface angezeigt werden. Die Lücke wurde in Version 11.9.3 behoben.

Die Errands-App war bis Version 46.2.10 anfällig für eine Schwachstelle, die eine korrekte Überprüfung von TLS-Zertifikaten beim Verbinden mit CalDAV-Servern verhinderte. Dadurch konnten Angreifer den Datenverkehr zwischen App und Servern abfangen oder manipulieren, was Risiken für Integrität und Vertraulichkeit der Daten barg. Nutzer sollten umgehend auf die neueste Version aktualisieren, um diese Sicherheitslücke zu schließen.

Eine Sicherheitslücke in MindsDB's Datei-Upload-API erlaubt es unauthentifizierten Angreifern, durch unzureichende Eingabesanitierung beliebige Dateien vom Server zu lesen und in MindsDB's Speicher zu übertragen. Dies kann zum Diebstahl sensibler Daten führen. Betroffen sind Versionen vor 25.11.1, bei denen JSON-Uploads nicht korrekt überprüft werden. Während andere Upload-Methoden adäquat geschützt sind, bleibt diese Lücke für Angreifer offen.

Angreifer haben bösartige npm-Pakete in den Marktplatz der n8n-Automationsplattform eingeschleust. Die Pakete tarnen sich als legitime Integrations-Erweiterungen und erbeuten so sensible API-Zugangsdaten. Dies zeigt, dass Angreifer neue Ökosysteme für Supply-Chain-Angriffe missbrauchen. Unternehmen sollten eingebaute Integrationen bevorzugen, Pakete sorgfältig prüfen und Netzwerkaktivitäten überwachen, um sich vor dieser Bedrohung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-21858, CVE-2026-21693).

Forscher haben eine Reihe kritischer Sicherheitslücken in der beliebten React Router-Bibliothek entdeckt. Die Schwachstellen, die unter der CVE-2025-61686 bekannt sind, ermöglichen es Angreifern, auf sensible Serverdateien zuzugreifen. Betroffen sind React-basierte Webanwendungen, die React Router einsetzen. Entwickler sollten dringend ein Update auf eine nicht betroffene Version vornehmen, um ihre Systeme vor möglichen Kompromittierungen zu schützen.

Forscher haben eine kritische Schwachstelle (CVE-2025-68493) im weit verbreiteten Java-Framework Struts 2 entdeckt. Angreifer können die Lücke ausnutzen, um Daten aus betroffenen Systemen auszulesen. Betroffen sind alle Versionen von Struts 2 - ein Patch ist dringend erforderlich, um die Systeme vor Kompromittierung zu schützen.