Tech Blog

Eine kritische SQL-Injection-Schwachstelle in der SUNNET Corporate Training Management System-Software vor Version 10.11 ermöglicht es Angreifern, beliebige SQL-Befehle auszuführen. Betroffen sind Systeme, die diese Unternehmenssoftware einsetzen. Ein Patch ist erforderlich, um das Risiko zu bannen.

Eine schwerwiegende Sicherheitslücke im SUNNET Corporate Training Management System erlaubt Angreifern die Ausführung beliebiger Systemkommandos. Betroffen sind Versionen vor 10.11. Nutzer sollten dringend ein Update installieren, sobald der Hersteller einen Patch veröffentlicht.

Eine gefährliche Datei-Upload-Schwachstelle in der SUNNET Corporate Training Management Software vor Version 10.11 ermöglicht es Angreifern, bösartigen Code auszuführen. Die Schwachstelle mit der CVE-ID CVE-2025-54944 hat einen kritischen Schweregrad von 9.8. Admins sollten dringend ein Sicherheitsupdate einspielen, um ihre Systeme vor Kompromittierung zu schützen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-54944, CVE-2026-0963).

Eine Sicherheitslücke in Microsoft Power Apps ermöglicht autorisierten Angreifern, über ein Netzwerk beliebigen Code auszuführen. Das ist natürlich ein ganz schöner Salat. Admins sollten schnellstmöglich nach einem Patch Ausschau halten und die Applikation bis dahin vom Netz nehmen, wenn möglich.

Eine Schwachstelle in der Backup-Komponente des Crafty Controller erlaubt einem authentifizierten Angreifer über Pfadtraversal-Angriffe das Ausführen beliebigen Codes. Die Lücke mit einer Bewertung von 8.2 "Hoch" muss dringend geschlossen werden, um Systeme vor Kompromittierung zu schützen.

Eine kritische Sicherheitslücke im SUNNET Corporate Training Management System ermöglicht es Angreifern, ohne vorherige Authentifizierung auf Bereitstellungsfunktionen zuzugreifen. Das System ist vor Version 10.11 betroffen. Administratoren sollten umgehend ein Sicherheitsupdate einspielen, um ihre Systeme vor unbefugtem Zugriff zu schützen.

Eine Codeinjektions-Schwachstelle in Ivanti Endpoint Manager Mobile ermöglicht Angreifern die unauthentifizierte Ausführung von Remotecode. Mit der CVE-2026-1340 Verwundbarkeit mit einer Schweregrad-Bewertung von 9.8 können Übeltäter unkompliziert die Kontrolle über betroffene Systeme erlangen. Admins sollten dringend das bereitgestellte Sicherheitsupdate installieren, um ihre Infrastruktur vor dieser kritischen Sicherheitslücke zu schützen.

In der Eclipse Theia Website-Repository wurde eine kritische Sicherheitslücke in der GitHub Actions-Workflow-Datei entdeckt. Durch unsichere Konfiguration konnten Angreifer beliebigen Code in der CI-Umgebung mit Zugriff auf Repository-Geheimnisse und einem GITHUB_TOKEN mit weitreichenden Schreibrechten ausführen. Dies ermöglichte das Auslesen von Geheimnissen, das Veröffentlichen schädlicher Pakete und das Modifizieren der offiziellen Theia-Website.

In der Inference-Engine vLLM für große Sprachmodelle (LLMs) ermöglicht eine Sicherheitslücke bis Version 0.14.0 Angreifern die Ausführung von beliebigem Code auf dem Hostrechner. Durch Manipulation des Modellpfads können Schädlinge die Schwachstelle ausnutzen, ohne Zugriff auf die API zu benötigen. Ein Patch in Version 0.14.0 behebt das Problem.

Eine kritische Sicherheitslücke (CVE-2025-64709) in der Typebot Chatbot-Software erlaubte es authentifizierten Nutzern, beliebige HTTP-Anfragen vom Server aus zu stellen. Dadurch konnten AWS-Zugangsdaten gestohlen und der gesamte Kubernetes-Cluster sowie die damit verbundene AWS-Infrastruktur kompromittiert werden. Das Problem wurde mit Version 3.13.1 behoben.