Tech Blog

Das WordPress-Plugin "Search Atlas SEO" hat eine Sicherheitslücke, die es Angreifern mit Subscriber-Rechten oder höher ermöglicht, sich als Administrator anzumelden. Die Schwachstelle betrifft die Versionen 2.4.4 bis 2.5.12 und ermöglicht das Auslesen eines Authentifizierungs-Tokens. Betroffene Seitenbetreiber sollten das Plugin umgehend auf die neueste Version aktualisieren, um die Lücke zu schließen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2025-14386, CVE-2025-67957).

Eine Sicherheitslücke im QR-Menü-System der Akın Software Computer Import Export Industry and Trade Ltd. ermöglicht es Angreifern, die Authentifizierung zu umgehen. Das Problem betrifft Versionen vor s1.05.12 und wird als "Improper Access Control" eingestuft. Administratoren sollten das System umgehend auf die neueste Version aktualisieren, um Schäden durch Missbrauch zu verhindern.

Eine kritische Sicherheitslücke in Oracle VM VirtualBox ermöglicht es Angreifern mit erhöhten Rechten, das System zu übernehmen. Die Schwachstelle betrifft die Versionen 7.1.14 und 7.2.4 und hat eine CVSS-Bewertung von 8.2. Anwender sollten dringend auf eine aktualisierte Version umsteigen, sobald ein Patch verfügbar ist. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-21987, CVE-2026-21988).

Eine kritische Schwachstelle im WordPress-Theme "Medizin" ermöglicht lokale Dateieinbindung. Betroffen sind alle Versionen vor 1.9.7. Angreifer können damit potenziell beliebigen Code ausführen. Ein Patch ist verfügbar, Sysadmins sollten das Theme umgehend aktualisieren.

Eine hochgefährliche Schwachstelle (CVE-2026-21989) in Oracle VM VirtualBox ermöglicht Angreifern mit Zugriff auf die Infrastruktur den Zugriff auf alle zugänglichen Daten und sogar einen teilweisen Denial-of-Service. Betroffen sind die Versionen 7.1.14 und 7.2.4. Solange noch keine Patches verfügbar sind, ist erhöhte Vorsicht geboten.

Eine kritische Datei-Upload-Schwachstelle in der Version 1.0 des Code-projects Mobile Shop Management Systems ermöglicht Angreifern den Zugriff auf das System. Entwickler sollten dringend ein Update einspielen, um diese Sicherheitslücke mit der CVE-ID CVE-2025-69565 und einem CVSS-Score von 9.8 zu schließen.

In älteren Versionen von GnuPG (vor 2.5.17) führt eine manipulierte CMS-Nachricht mit überlangem verschlüsseltem Sitzungsschlüssel zu einem Puffer-Überlauf im gpg-agent. Dies ermöglicht nicht nur Denial-of-Service-Attacken, sondern auch potenzielle Remotecodeausführung durch Speicherbeschädigung. Admins sollten dringend auf die neueste GnuPG-Version aktualisieren, um diese kritische Sicherheitslücke zu schließen. Insgesamt wurden 2 verwandte Schwachstellen für dieses Produkt veröffentlicht (CVE-2026-24881, CVE-2026-24882).

Gila CMS-Versionen vor 2.0.0 enthalten eine kritische Sicherheitslücke, die es unauthentifizierten Angreifern ermöglicht, beliebige Systemkommandos auszuführen. Angreifer können PHP-Code im User-Agent-Header injizieren und so über manipulierte Anfragen an den Admin-Endpunkt Schadcode ausführen.

Eine kritische Schwachstelle mit einer Bewertung von 9.8 wurde in der Version vor 5.4.8-stable5 des ProjectSkyfire SkyFire_548 Produkts entdeckt. Die Schwachstelle betrifft eine fehlerhafte Zeigerarithmetik, die Angreifern unter Umständen Remotecodeausführung ermöglichen könnte. Bis ein Patch verfügbar ist, wird Nutzern empfohlen, das System auf die neueste stabile Version upzudaten.

Eine Sicherheitslücke in ToDesktop Builder v0.32.1 ermöglicht es unauthentifizierten Angreifern, die Kommunikation mit dem Backend zu manipulieren, indem sie die Zertifikatsüberprüfung umgehen. Dieses kritische Problem mit einer CVSS-Bewertung von 9.8 sollte schnell behoben werden, um Systeme vor unbefugtem Zugriff zu schützen.