Tech Blog

In der Open-Source-Software Homarr bis Version 1.43.2 existierte eine kritische Sicherheitslücke, die es Angreifern ermöglichte, beliebigen JavaScript-Code im Browser des Nutzers auszuführen. Dies konnte sogar zur vollständigen Übernahme des Systems führen, wenn ein Administrator die manipulierte Seite aufrief. Der Patch in Version 1.43.3 behebt dieses Problem.

Eine Schwachstelle in der Verwaltungskonsole von Chyrp Lite, einem leichtgewichtigen Blogging-System, ermöglichte es Administratoren oder Benutzern mit Berechtigungen zum Ändern der Einstellungen, den Uploads-Pfad auf beliebige Ordner zu ändern. Dies führte zum Herunterladen vertraulicher Dateien wie der Konfiguration mit Datenbankzugangsdaten und erlaubte die Manipulation kritischer Systembereiche, was letztendlich zur Ausführung von Schadcode führen konnte. Der Patch in Version 2026.01 behebt dieses Sicherheitsproblem.

Eine kritische Sicherheitslücke (CVE-2026-35171) in der Kedro-Bibliothek für datengetriebene Anwendungen ermöglicht Angreifern die Ausführung beliebiger Systemkommandos. Das Problem liegt in der unsicheren Verarbeitung von Konfigurationsdateien, die über Umgebungsvariablen geladen werden. Entwickler sollten Kedro umgehend auf Version 1.3.0 aktualisieren, um diese Remote-Code-Execution-Schwachstelle zu schließen.

Frappe HelpDesk 1.14.0 ist von einer kritischen SQL-Injection-Schwachstelle betroffen. Angreifer können durch unsichere Parameterkonstruktion in dynamischen SQL-Abfragen die Kontrolle über den Server erlangen. Für Administratoren ist ein zeitnahes Update auf eine gepatcht e Version dringend empfohlen.

In Versionen des mcp-server-git-Tools vor 2025.9.25 konnte das git_init-Modul beliebige Dateisystempfade akzeptieren und Git-Repositories ohne Prüfung des Zielorts erstellen. Dies ermöglichte den Zugriff auf alle Verzeichnisse, die dem Server-Prozess zugänglich waren. Das Tool wurde entfernt, da der Server nur auf existierenden Repositories arbeiten soll. Nutzer werden empfohlen, auf Version 2025.9.25 oder neuer zu aktualisieren, um das Problem zu beheben.

In der Datei "instructorClasses.php" des Online-Studentenportal-Systems "itsourcecode Online Student Enrollment System v1.0" wurde eine kritische SQL-Injection-Schwachstelle entdeckt. Der Parameter "classId" aus der $_GET-Variable wird direkt in die SQL-Abfrage eingebunden, ohne vorher ordnungsgemäß bereinigt zu werden. Dadurch können Angreifer beliebigen SQL-Code einschleusen und so die Kontrolle über die Datenbank erlangen.

Eine kritische Schwachstelle (CVE-2026-39942) in der Directus-Plattform vor Version 11.17.0 ermöglichte es Angreifern, beliebige Dateien auf dem Server zu überschreiben, indem sie den Dateinamen manipulierten. Dadurch konnten sie den Inhalt fremder Dateien verändern und die Herkunft der Änderungen verschleiern. Der Patch in Version 11.17.0 behebt dieses Problem.

Eine kritische Sicherheitslücke in Clasp, einer Google Apps Script-Plattform, erlaubt Remote-Code-Execution durch einen Pfad-Traversal-Angriff. Betroffen sind alle Versionen unter 3.2.0. Angreifer können über manipulierte Dateinamen auf dem Server beliebigen Code ausführen. Ein Patch ist dringend erforderlich, um diese Schwachstelle zu schließen.

Eine kritische Sicherheitslücke in der Open-Source-Webanwendung Chartbrew ermöglichte es authentifizierten Nutzern, willkürliche URLs für API-Datenzugriffe zu erstellen. Der Server holte diese URLs ohne IP-Adressüberprüfung ab, was Server-Side-Request-Forgery-Angriffe auf interne Netzwerke und Cloud-Metadaten-Endpunkte zuließ. Das Problem wurde in Version 4.8.5 behoben.

Wieder einmal ist eine Woche voller Chaos und Sicherheitsvorkommnisse vorüber. Wir beobachten eine kritische Zero-Day-Lücke, die sich seit Monaten in PDFs eingenistet hat, sowie aggressive staatlich gesponserte Eingriffe in Infrastruktur, die nun ans Licht kommen. Von ruhigen Verschiebungen bis hin zu Vorfällen, die eine Notfallreaktion erfordern, ist es manchmal nur ein kleiner Schritt.