Tech Blog

Die US-Behörde CISA hat eine kritische Sicherheitslücke in WatchGuard-Firewalls gemeldet, die Angreifern Zugriff ohne Anmeldung ermöglicht. Die Schwachstelle CVE-2025-9242 (CVSS 9.3) betrifft Fireware OS 11.10.2 und ältere Versionen. Über 54.000 Systeme sind potenziell betroffen. WatchGuard sollte dringend Patches bereitstellen, um die Systeme vor Kompromittierung zu schützen.

Sicherheitsforscher entdeckten eine kritische Schwachstelle (CVE-2025-12480, CVSS 9.1) im Triofox-Dateifreigabe-Tool. Hacker können sich damit ohne Authentifizierung Zugriff auf die Konfiguration verschaffen und beliebige Schadsoftware installieren. Der Hersteller Gladinet hat den Fehler zwar inzwischen behoben, aber die Tatsache, dass eine so gravierende Lücke überhaupt existierte, lässt Zweifel an der Qualität des Produkts aufkommen. Anwender sollten Triofox umgehend auf die neueste Version aktualisieren, um Kompromittierung ihrer Systeme zu verhindern.

Eine kritische Schwachstelle im WordPress-Plugin "AI Engine" ermöglichte Angreifern ohne Authentifizierung, sich als Administrator hochzustufen. Über 100.000 Websites waren betroffen, bis der Hersteller den Patch 3.1.4 veröffentlichte. Wordfence hat Nutzer mit einer Firewall-Regel geschützt. Benutzer sollten das Plugin umgehend aktualisieren und den Zugriffstoken erneuern, um Kompromittierung zu verhindern.

Schwere Sicherheitslücke im WordPress-Plugin Post SMTP erlaubt Übernahme von 400.000 Websites. Angreifer können sich ohne Authentifizierung Zugriff auf E-Mail-Logs und Passwort-Zurücksetzungen verschaffen. Kritisches CVE-2025-11833 wurde erst nach über einem Monat gepatcht - ein Trauerspiel für die Websicherheit. Aber hey, immerhin gab's dafür 7.800 Dollar Prämie für den findigen Entdecker.

Wordfence veröffentlicht wöchentlich einen Bericht über neue WordPress-Sicherheitslücken. In der letzten Woche wurden 125 Lücken in 116 Plugins und 4 Themes entdeckt. Besonders kritisch sind dabei Schwachstellen mit hoher Bewertung, die teilweise noch ungepatcht sind. Bedenklich sind auch die vielen Lücken, die Angreifern Zugriff auf sensible Daten oder sogar Schadcode-Ausführung ermöglichen. Nutzer sollten dringend Updates installieren und ihre WordPress-Installationen regelmäßig auf Sicherheit überprüfen.

Kritische Sicherheitslücke im WordPress-Plugin WP Freeio ermöglicht unkomplizierte Administratorrechte für Angreifer. Vendor veröffentlichte zwar Patch, aber Tausende Websites bleiben ungeschützt. Wordfence Firewall blockt über 33.200 Angriffe – Vendor-Versagen offenbart einmal mehr die Grenzen von "Security through Obscurity".

In einem weit verbreiteten WordPress-Plugin wurde eine Sicherheitslücke entdeckt, die es autorisierten Angreifern ermöglicht, beliebige Dateien auf dem Server auszulesen. Betroffen sind über 100.000 Websites. Der Vendor hat die Lücke zwar schnell geschlossen, aber Nutzer müssen dringend auf die neueste Version aktualisieren, um ihre Daten zu schützen.

Zwei WordPress-Plugins mit kritischen Schwachstellen: Hacker kapern Websites über die Sicherheitslücken in GutenKit (CVE-2024-9234) und Hunk Companion (CVE-2024-9707, CVE-2024-11972). Über 8,7 Millionen Angriffe wurden bislang abgewehrt. Betroffene müssen dringend auf die Versionen 2.1.1 bzw. 1.9.0 aktualisieren, um sich vor Kompromittierung zu schützen.

Die TYPO3-Erweiterung "Front End User Registration" (sr_feuser_register) weist kritische Sicherheitslücken auf. Angreifer können durch unzureichende Validierung beliebige serialisierte PHP-Objekte einschleusen, was zu Remote Code Execution führen kann. Außerdem ermöglicht eine Schwachstelle den Download beliebiger Dateien ohne Authentifizierung. Betroffene Nutzer sollten die Erweiterung umgehend auf Version 12.5.0 aktualisieren. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-48200, CVE-2025-48205, CVE-2025-47941).

Die TYPO3-Erweiterung "Backup Plus" (ns_backup) weist mehrere Sicherheitslücken auf, darunter Befehlseinschleusung, vorhersagbare Ressourcenstandorte und Cross-Site-Scripting. Authentifizierte Backend-Nutzer können die Befehlseinschleusung ausnutzen, um Backups zu erstellen. Unbefugte Nutzer können zudem erstellte Backups und Konfigurationsdateien herunterladen. Ein Update auf Version 13.0.1 schließt diese Lücken.