Tech Blog

Eine Puffer-Überlauf-Schwachstelle im kostenlosen Musikbearbeitungsprogramm "Free MP3 CD Ripper" erlaubt es Angreifern, beliebigen Schadcode auf betroffenen Windows-Systemen auszuführen. Durch das Abspielen einer präparierten Wav-Datei können Hacker die Kontrolle über verwundbare Rechner übernehmen. Nutzer sind dringend gefordert, das Programm zu aktualisieren, sobald ein Patch verfügbar ist. Insgesamt wurden 3 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2020-37000, CVE-2025-7016, CVE-2026-24832).

Ajenti 2.1.36 ist von einer kritischen Schwachstelle betroffen, die es Angreifern ermöglicht, nach der Anmeldung beliebige Befehle auszuführen. Durch Ausnutzung des /api/terminal/create-Endpunkts können Schurken eine Reverse-Shell-Verbindung zu einem selbst kontrollierten System aufbauen und so die Kontrolle über das angegriffene System erlangen. Ein Patch ist dringend erforderlich, um diese Sicherheitslücke zu schließen.

Eine kritische Schwachstelle in der Version 2.0.5 des Ultimate Project Manager CRM PRO von CodeXCube ermöglicht Angreifern über den "/frontend/get_article_suggestion/"-Endpunkt Blind-SQL-Injektionen durchzuführen. Dadurch können sensible Informationen wie Nutzernamen und Passwort-Hashes aus der tbl_users-Datenbanktabelle extrahiert werden. Benutzer und Administratoren dieser Plattform sollten umgehend Gegenmaßnahmen ergreifen, um das Risiko von Zugangsdaten-Diebstahl zu minimieren.

Die berliCRM-Version 1.0.24 weist eine SQL-Injektionslücke im 'src_record'-Parameter auf. Angreifer können damit unbeabsichtigte SQL-Befehle ausführen und sensible Daten auslesen oder Datensätze manipulieren. Das stellt ein erhebliches Sicherheitsrisiko für Anwendungen dar, die dieses Produkt einsetzen.

Eine kritische Sicherheitslücke in der MedDream PACS Server-Software ermöglicht autorisierten Nutzern das Hochladen und Ausführen von bösartigem PHP-Code. Angreifer können so mit erhöhten Rechten beliebige Systembefehle ausführen. Diese Schwachstelle zeigt einmal mehr, wie wichtig es ist, Benutzerberechtigungen sorgfältig zu überwachen und den Upload von Dateien in Webanwendungen abzusichern.

Die beliebte Peer-to-Peer-Software BearShare Lite 5.2.5 ist von einer schwerwiegenden Sicherheitslücke betroffen, die Angreifer ausnutzen können, um beliebigen Schadcode auszuführen. Die Schwachstelle ermöglicht es, durch manipulierte Sucheingaben einen Puffer-Überlauf zu provozieren und so die Kontrolle über das System zu erlangen. Nutzer sollten dringend ein Update auf eine unbefallene Version von BearShare Lite installieren, bis der Hersteller ein Sicherheitsupdate veröffentlicht.

In der Tea LaTex Version 1.0 wurde eine kritische Sicherheitslücke entdeckt, die es unautorisierte Angreifer ermöglicht, beliebige Shellbefehle auszuführen. Die Schwachstelle tritt auf, wenn ein speziell präparierter LaTeX-Payload über den /api.php-Endpunkt, insbesondere bei der Ausführung der tex2png-API-Aktion, verarbeitet wird. Dieses Leck stellt ein erhebliches Risiko dar und sollte umgehend behoben werden.

Der Audio-Playback-Recorder Version 3.2.2 weist eine lokale Puffer-Überlauf-Schwachstelle auf, die durch unsachgemäße Verarbeitung der Eject- und Registrierungsparameter verursacht wird. Angreifer können diese Lücke ausnutzen, um den Structured Exception Handler zu überschreiben und willkürlichen Code auszuführen. Das kann zu schwerwiegenden Konsequenzen führen.

Forscher entdeckten eine kritische Sicherheitslücke (CVE-2025-13374) im WordPress Plugin "Kalrav AI Agent". Über eine anfällige AJAX-Funktion können Angreifer ohne Authentifizierung beliebige Dateien hochladen. Dies ermöglicht Remote Code Execution mit Administratorrechten. Betreiber sollten das Plugin umgehend auf die aktuellste Version aktualisieren.

Zwei kritische Sicherheitslücken in der beliebten Workflow-Automatisierungsplattform n8n ermöglichen authentifizierten Nutzern das Ausbrechen aus der Sandbox und die Ausführung von Schadcode auf betroffenen Systemen. Die Schwachstellen können zu einer vollständigen Kompromittierung der Zielumgebung führen und stellen ein ernsthaftes Risiko für Unternehmen dar, die n8n zur Orchestrierung von Integrationen, Automatisierung interner Prozesse oder Verwaltung von Cloud-Services einsetzen.