Tech Blog

Eine Sicherheitslücke im HeyGarson-Produkt von Codriapp Innovation and Software Technologies Inc. ermöglicht es Angreifern, Fehler-Nachrichten mit sensiblen Informationen zu generieren. Dies kann für Fuzzing-Angriffe zur Erkundung der Anwendungsstruktur missbraucht werden. Der Hersteller hat trotz mehrfacher Kontaktaufnahme nicht auf die Schwachstelle reagiert.

Eine kritische Schwachstelle (CVE-2024-30264, Bewertung 8.1 "Hoch") in der Anmeldung der Open-Source-Chatbot-Plattform Typebot erlaubt Angreifern, Nutzerkonten zu kapern. Vor Version 2.24.0 konnte der "redirectPath"-Parameter missbraucht werden, um beliebigen JavaScript-Code auszuführen. Der Patch in Version 2.24.0 behebt dieses Sicherheitsproblem.

Eine kritische Sicherheitslücke in der Version 1.0.9 des Prowise Reflect-Software ermöglicht es Angreifern, über einen WebSocket-Zugang auf Port 8082 beliebige Tastatureingaben auf dem Zielgerät auszuführen. Angreifer können so Anwendungen öffnen und beliebigen Text eingeben, was zu schwerwiegenden Folgen führen kann. Ein Patch ist dringend erforderlich, um diese Schwachstelle mit CVE-2022-50925 zu schließen.

Eine Schwachstelle mit hoher Schwere (8.8) wurde in der Sangfor-Betriebsverwaltungssoftware bis Version 3.0.12 entdeckt. Angreifer können durch Manipulation des Schlüsselpassworts-Arguments eine Ausführung von Betriebssystem-Befehlen erreichen. Der Exploit ist öffentlich verfügbar und könnte missbraucht werden. Der Hersteller wurde informiert, reagierte jedoch nicht.

2 CVEs veröffentlicht für 8.8 High (CVE-2025-33208, CVE-2025-58411)

Die Version 3.36.0.9 des Frigate Professional-Produkts enthält eine lokale Puffer-Überlauf-Sicherheitslücke. Angreifer können diese Schwachstelle ausnutzen, um beliebigen Code auszuführen und so die Systeme zu kompromittieren. Der Fehler liegt im "Archive To"-Eingabefeld, dessen Überschreitung die Ausführungskontrolle des Programms übernehmen kann. Leider gibt es bisher keinen offiziellen Patch, also müssen Administratoren die Software manuell aktualisieren, um ihre Systeme vor dieser kritischen Lücke zu schützen.

Die Parsec-Cloud-Anwendung weist eine Sicherheitslücke im "libparsec_crypto"-Modul auf, die bis zur Version 3.6.0 bestand. Angreifer konnten als Man-in-the-Middle-Angreifer schwache Diffie-Hellman-Schlüssel einschleusen, wodurch die Vertraulichkeit der Verbindung kompromittiert wurde. Zum Glück war nur die Webversion betroffen, die Desktop-Version nutzt einen anderen, nicht anfälligen Backend-Dienst. Mit dem Update auf Version 3.6.0 wurde die Lücke geschlossen.

Die BacklinkSpeed-Software Version 2.4 weist eine Puffer-Überlauf-Schwachstelle auf, die zur Beschädigung der Structured Exception Handler (SEH)-Kette führen kann. Durch das Importieren einer speziell präparierten Datei können Angreifer die SEH-Adressen überschreiben und möglicherweise beliebigen Code ausführen. Nutzer sollten dringend auf die neueste Version aktualisieren und Vorsicht beim Importieren unbekannter Dateien walten lassen.

Die Version 1.0 des Elaniin CMS enthält eine Sicherheitslücke, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und unbefugten Zugriff auf das Admin-Dashboard zu erlangen. Der Angriff erfolgt durch Manipulation der Anmeldeparameter, insbesondere durch den Einsatz von SQL-Injection-Techniken über präparierte E-Mail- und Passwort-Werte. Diese Schwachstelle kann schwerwiegende Folgen für die Systemsicherheit haben.

Eine Puffer-Überlauf-Schwachstelle im kostenlosen Musikbearbeitungsprogramm "Free MP3 CD Ripper" erlaubt es Angreifern, beliebigen Schadcode auf betroffenen Windows-Systemen auszuführen. Durch das Abspielen einer präparierten Wav-Datei können Hacker die Kontrolle über verwundbare Rechner übernehmen. Nutzer sind dringend gefordert, das Programm zu aktualisieren, sobald ein Patch verfügbar ist. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2020-37000, CVE-2025-7016, CVE-2026-24832).