Tech Blog

In der Rukovoditel CRM-Software bis Version 3.6.4 existiert eine kritische Sicherheitslücke durch eine Schwachstelle in der Zadarma-Telefonie-API. Angreifer können über den 'zd_echo'-Parameter manipulierte JavaScript-Inhalte einschleusen, was zu Sessionentführung, Zugangsdatendiebstahl und Kontrollübernahme führen kann. Ab Version 3.7 ist die Lücke durch verbesserte Eingabevalidierung und Ausgabekodierung behoben.

Eine kritische Sicherheitslücke mit der Bewertung 9.8 wurde in der Firmware des Totolink A7100RU Routers entdeckt. Angreifer können durch Manipulation des "proto"-Parameters der CGI-Schnittstelle beliebigen Schadcode ausführen. Da der Exploit öffentlich ist, sollten Administratoren umgehend ein Firmware-Update einspielen, um ihre Systeme vor Angriffen zu schützen.

Dolibarr ERP-CRM 8.0.4 ist von einer kritischen SQL-Injection-Schwachstelle betroffen. Angreifer können durch manipulierte Eingaben in der admin dict.php Schnittstelle beliebige SQL-Abfragen ausführen und so sensible Daten aus der Datenbank auslesen. Das Problem hat eine Bewertung von 8.2 auf der CVSS-Skala und sollte umgehend behoben werden.

Eine kritische Sicherheitslücke mit einer CVSS-Bewertung von 9.8 wurde im CF Image Hosting Script 1.6.5 entdeckt. Unauthentifizierte Angreifer können darüber die Anwendungsdatenbank herunterladen und entschlüsseln, um dann alle Bilder über den d-Parameter zu löschen. Admins sollten dringend auf eine aktualisierte Version des Scripts umsteigen, um diese Schwachstelle zu schließen.

Eine schwerwiegende Sicherheitslücke in der Software Echo Mirage 3.1 ermöglicht lokalen Angreifern, durch Eingabe eines überlangen Strings im "Rules"-Aktionsfeld, einen Absturz oder sogar die Ausführung von Schadcode. Die Schwachstelle mit der CVE-ID CVE-2019-25705 weist einen Schweregrad von 8.4 auf und sollte umgehend behoben werden.

Die Version 1.6.20 des "Easy Video to iPod Converter" weist eine kritische Sicherheitslücke auf. Angreifer können durch Eingabe eines präparierten Payloads im Nutzerregistrierungsfeld einen lokalen Pufferüberlauf auslösen und so beliebigen Schadcode mit Nutzerrechten ausführen. Betroffen sind alle Nutzer des Konverters, ein Patch ist dringend empfohlen.

Die Version 1.0 des Content-Management-Systems CMSsite ist von einer SQL-Injektions-Schwachstelle betroffen. Unautorisierte Angreifer können über den cat_id-Parameter der Kategorie-Seite category.php Datenbankinhalte wie Nutzerkonten und Zugangsdaten auslesen. Die Lücke weist einen CVSSv3-Schweregrad von 8.2 "Hoch" auf. Betreiber sollten dringend ein Update auf eine neuere, nicht betroffene Version einspielen.

Die CVE-2019-25695 beschreibt eine kritische Sicherheitslücke in R 3.4.4, die es Angreifern ermöglicht, durch das Einfügen von bösartigem Input in das Sprachfeld der GUI-Einstellungen beliebigen Code auszuführen. Durch einen 292 Byte langen Offset und einen JMP ESP-Befehl können Angreifer Befehle wie "calc.exe" ausführen. Betroffene Nutzer sollten dringend ein Software-Update auf eine neuere, gepatcht Version von R installieren. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2019-25695, CVE-2018-25258).

Die Faleemi Desktop Software 1.8 enthält eine lokale Pufferüberlauf-Schwachstelle im System-Setup-Dialog, die Angreifer zur Umgehung von DEP-Schutzmaßnahmen durch strukturierte Ausnahmeverwaltung ausnutzen können. Über ein präpariertes Payload im "Speicherpfad für Schnappschuss und Aufnahmedatei"-Feld können Angreifer einen Pufferüberlauf auslösen und beliebigen Code via ROP-Kette ausführen.

Axios, eine beliebte HTTP-Bibliothek für Web-Anwendungen und Node.js, hat eine kritische Schwachstelle, die Prototype Pollution und Remote Code Execution ermöglicht. Angreifer können die Sicherheit von Cloud-Umgebungen umgehen, indem sie AWS IMDSv2-Schutzmaßnahmen aushebeln. Nutzer werden dringend empfohlen, auf Axios Version 1.15.0 oder höher zu aktualisieren, um dieses Risiko zu bannen.