Tech Blog

In der Version 3.36.0.9 des Netzwerkvideo-Recorders Frigate 3 wurde eine kritische Sicherheitslücke entdeckt. Angreifer können die Schwachstelle ausnutzen, um durch manipulierte Eingaben den Pufferspeicher zu überlaufen und so willkürlichen Code auf dem betroffenen System auszuführen. Dies kann zu weiterer Kompromittierung des Systems und unberechtigtem Zugriff auf Systemressourcen führen.

Die Version 1.3 des Quick Players ist anfällig für eine kritische Puffer-Überlauf-Schwachstelle, die Angreifer ausnutzen können, indem sie präparierte .m3l-Dateien laden. Dadurch können sie beliebigen Schadcode ausführen und so die Kontrolle über das System erlangen. Das Ganze ist leider kein Scherz, sondern eine ernst zu nehmende Sicherheitslücke, die dringend geschlossen werden sollte.

Eine kritische SQL-Injection-Schwachstelle wurde in dem Online-Exam-System 2015 entdeckt. Angreifer können damit Passwort-Hashes aus der Datenbank auslesen und so unbefugt auf sensible Informationen zugreifen. Das System ist einem erheblichen Risiko für Datenschutz und -integrität ausgesetzt. Eine Behebung des Problems durch den Hersteller ist dringend erforderlich.

Ubiquiti AirControl 1.4.2 weist eine kritische Sicherheitslücke auf, die es unauthentifizierten Angreifern ermöglicht, beliebigen Schadcode auszuführen. Durch Ausnutzung des /.seam-Endpunkts können Angreifer über manipulierte URLs schädliche Java-Ausdrücke injizieren und so Systemkommandos mit den Rechten der Anwendung ausführen. Betroffene Nutzer sollten umgehend reagieren und das System aktualisieren.

Die Version 0.2.0 des Crystal Shard http-protection-Tools ist anfällig für eine IP-Spoofing-Schwachstelle (CVE-2020-37056). Angreifer können dadurch die Requestheader X-Forwarded-For, X-Client-IP und X-Real-IP manipulieren und so die Sicherheitsmechanismen umgehen. Dies ermöglicht den Zugriff auf sensible Ressourcen oder Systeme ohne Berechtigung.

Eine Sicherheitslücke in IBM Db2 für Windows 12.1.0 - 12.1.3 ermöglicht es lokalen Nutzern mit Dateisystemzugriff, ihre Rechte zu erhöhen. Dies ist auf die Verwendung eines unquotierten Suchpfadselements zurückzuführen. Administratoren sollten dringend ein Upgrade auf eine neuere, nicht betroffene Version von IBM Db2 durchführen, um dieses Risiko zu bannen.

Eine kritische SQL-Injection-Lücke in der Online-Prüfungssoftware von Kodmatic ermöglicht Angreifern die Ausführung beliebiger SQL-Befehle. Trotz früher Benachrichtigungen hat der Hersteller bislang nicht auf dieses Sicherheitsproblem reagiert, was die Sicherheit der Nutzer dieser Anwendung infrage stellt.

Eine schwerwiegende Code-Injektions-Schwachstelle wurde in Ivanti Endpoint Manager Mobile entdeckt. Angreifer können darüber ohne Authentifizierung beliebigen Schadcode ausführen und so auf sensible Daten zugreifen. Administratoren sollten dringend auf die neueste Version aktualisieren, um diese Sicherheitslücke zu schließen.

Die Anwendung "HeyGarson" von Codriapp Innovation and Software Technologies Inc. weist eine Schwachstelle auf, die Fehlermeldungen mit sensiblen Informationen generiert. Angreifer könnten dies ausnutzen, um Fuzzing-Attacken zur Erkundung der Anwendung durchzuführen. Trotz früher Kommunikation zu dieser Schwachstelle hat der Hersteller bislang keine Gegenmaßnahmen bereitgestellt.

SmarterTools hat zwei Sicherheitslücken in der E-Mail-Software SmarterMail behoben, darunter eine kritische Sicherheitslücke, die zu willkürlicher Codeausführung führen könnte. Die Schwachstelle CVE-2026-24423 hat einen CVSS-Score von 9,3 von 10. Betroffen sind SmarterMail-Versionen vor Build 9511. Ein Patch ist verfügbar.