Tech Blog

Eine kritische Sicherheitslücke im WordPress-Plugin "Custom Login Page Customizer" ermöglicht es Angreifern, die Passwörter beliebiger Nutzer, einschließlich Administratoren, zurückzusetzen, ohne authentifiziert zu sein. Dieses Versehen stellt ein erhebliches Sicherheitsrisiko für WordPress-Websites dar, die dieses Plugin verwenden.

Die Erugo-Dateifreigabe-Plattform wies bis Version 0.2.15 eine schwerwiegende Sicherheitslücke auf, die es authentifizierten Nutzern mit geringen Rechten ermöglichte, beliebige Dateien an jeden Ort hochzuladen. Durch Ausnutzen dieses Fehlers konnten Angreifer Schadcode auf dem Server platzieren und so die vollständige Kontrolle über die betroffene Erugo-Instanz erlangen. Das Problem wurde in Version 0.2.15 behoben.

SolarWinds hat erneut schwerwiegende Sicherheitslücken in seinem IT-Helpdesk-Tool Web Help Desk bekannt gegeben. Die Schwachstellen ermöglichen Angreifern die Umgehung der Authentifizierung und die Ausführung von Remotecode. Admins müssen die Systeme dringend auf die aktuelle Version 2026.1 aktualisieren, um die Lücken zu schließen und weitere Kompromittierungen zu verhindern.

Eine schwerwiegende Sicherheitslücke in Grist Spreadsheets, bekannt als CVE-2026-24002, erlaubt Angreifern den Ausbruch aus der Sandbox und die Ausführung von beliebigem Code. Dieses Sandbox-Escape-Problem verwandelt die Tabellenkalkulationsanwendung in ein potenzielles Einfallstor für Remote-Code-Execution-Attacken. Administratoren sollten dringend nach verfügbaren Patches oder Workarounds Ausschau halten, um ihre Systeme vor dieser kritischen Schwachstelle zu schützen.

Sicherheitsforscher haben eine kritische Schwachstelle in der Archivierungs-Software WinRAR entdeckt, die von Geheimdiensten ausgenutzt wird. Die Lücke mit der CVE-ID CVE-2025-8088 ermöglicht Fernzugriff auf betroffene Systeme. Anwender sollten WinRAR umgehend auf die neueste Version aktualisieren, um sich vor dieser Bedrohung zu schützen.

Eine hochkritische Sicherheitslücke (CVSS 10) in der SandboxJS-Bibliothek ermöglicht Angreifern den vollständigen Ausbruch aus der Sandbox. Damit können sie unkontrollierten Code auf dem System ausführen. Anwender sollten dringend auf eine gepatche Version aktualisieren, sobald ein Fix verfügbar ist.

Eine Sicherheitslücke im WordPress-Plugin "Kids Heaven" ermöglicht es Angreifern, bösartigen Code in die Anwendung einzuschleusen. Die Schwachstelle betrifft Versionen bis 3.2 und hat eine hohe Schwere von 8.8. Admins sollten das Plugin umgehend aktualisieren, um ihre Systeme vor Kompromittierung zu schützen.

Eine schwerwiegende Schwachstelle mit CVSS-Bewertung 9.8 wurde in der Konsultationssoftware Consult Aid entdeckt. Unbefugte können durch die Deserialisierung von unsicheren Daten eine Objektinjektion ausführen. Das betrifft Versionen bis einschließlich 1.4.3. Admins sollten umgehend auf die neueste, korrigierte Version aktualisieren, um ihre Systeme vor Angriffen zu schützen.

Eine kritische Sicherheitslücke (CVE-2025-67616, 8.1 High) in BZOTheme Mella ermöglicht PHP-Dateieingabe. Betroffen sind alle Versionen von Mella bis einschließlich 1.2.29. Die Schwachstelle kann für Remote Code Execution missbraucht werden. Admins sollten schnellstmöglich auf eine aktualisierte Version des Themes wechseln. Insgesamt wurden 5 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-67616, CVE-2025-67615, CVE-2025-58958, CVE-2025-58967, CVE-2025-59558).

Das WordPress-Plugin "Custom Login Page Customizer" bis Version 2.5.4 hat eine Sicherheitslücke im Passwort-Reset-Prozess. Angreifer können mit wenigen unbefugten Anfragen das Passwort beliebiger Nutzer, inklusive des Administrators, zurücksetzen und so Zugriff auf deren Konten erlangen.